Le Conseil d’administration de la Société pour l’attribution des noms de domaine et des numéros sur Internet (ICANN) a approuvé les plans pour le tout premier changement de la clé cryptographique du répertoire d’adresses Internet, dit système des noms de domaine (DNS).

Lors d’une réunion en Belgique, le 16 septembre, le Conseil d’administration de l’ICANN a adopté une résolution enjoignant l’organisation à procéder avec ses plans de changement ou « roulement » de la clé de la racine du DNS le 11 octobre 2018. Il s’agit de la première fois que cette clé est modifiée depuis sa mise en service en 2010.

« C’est une initiative importante et nous avons l’obligation de veiller à ce qu`elle soit mise en œuvre dans le respect de la mission de l’ICANN, qui consiste à assurer un DNS sûr, stable et résilient », a signalé Cherine Chalaby (photo), président du Conseil d’administration de l’ICANN. « Il n’y a pas moyen d’avoir la certitude que tous les opérateurs de réseau auront configuré correctement leurs « résolveurs » ; mais si les choses se passent comme prévu, nous nous attendons à ce que la vaste majorité accède à la zone racine. »

Certains utilisateurs Internet pourront être affectés si leur opérateur de registre ou fournisseur de services Internet (FSI) ne sont pas préparés pour le roulement. Les opérateurs qui mettent en place la validation des extensions de sécurité du système des noms de domaine, dites aussi DNSSEC (un ensemble de protocoles de sécurité utilisés pour vérifier que les informations du DNS ne soient pas corrompues de façon malveillante ou accidentelle), sont ceux qui doivent veiller à être prêts pour le roulement.

« Les recherches montrent qu’il y a plusieurs milliers d’opérateurs de réseau qui valident les DNSSEC, et près d’un quart des internautes ont recours à ces opérateurs », a indiqué David Conrad, directeur de la technologie de l’ICANN. « Il est presque sûr qu’il y aura un petit nombre d’opérateurs, quelque part dans le monde, qui ne seront pas préparés. Au pire des cas, tout ce qu’ils devront faire pour résoudre le problème c’est suspendre la validation DNSSEC, installer la nouvelle clé et remettre en route la validation DNSSECpour que leurs utilisateurs réussissent à se connecter au DNS. »

Le changement de la clé de la racine du DNS devait se faire l’année dernière, mais les plans ont été ajournés lorsque l’organisation ICANN a découvert et commencé à analyser de nouvelles données de dernière minute. Ces données faisaient état d’un manque de préparation de certains opérateurs au roulement de la clé.

Finalement, les dernières analyses menées ont conduit l’organisation à considérer que le changement de la clé pourrait se faire sans danger. C’est pourquoi, l’organisation, en consultation avec la communauté, a élaboré un nouveau plan qui recommande la mise en service de la nouvelle clé, un an jour pour jour après la date originellement prévue. Entre temps, l’organisation a mis en place de vastes campagnes de sensibilisation et des investigations pour savoir comment atténuer les risques associés au changement de la clé.

À l’occasion de sa réunion du 16 septembre, le Conseil d’administration de l’ICANN a adopté une résolution (https://www.icann.org/resources/board-material/resolutions-2018-09-16-en) approuvant le plan, si bien que l’organisation ICANN a mis en marche le processus pour changer la clé le 11 octobre 2018 à 4h00 pm UTC.

« Il s’agit du premier changement de la clé de la racine, mais ce ne sera pas le dernier », a dit Matt Larson, vice-président en charge de la recherche à l’ICANN et principal responsable du roulement de la clé. « Étant donné que c’est la première fois que ce changement a lieu, nous nous mettons en quatre pour nous assurer que tout se passe bien. Mais au fur et à mesure que de futurs roulements de clé auront lieu, les opérateurs de réseau, les FSI et les autres acteurs seront plus habitués à cette pratique. »

(Source : ICANN, 18 septembre 2018)