À quoi faut-il s’attendre quand Internet effectue une mise à niveau de sécurité importante

À quoi faut-il s’attendre quand Internet effectue une mise à niveau de sécurité importante

Prêt ou non, la mise à niveau vers une opération de sécurité Internet importante pourrait bientôt être lancée. Là encore, ça pourrait ne pas être le cas.

La Société Internet pour les noms et numéros attribués (ICANN) se réunira la semaine du 17 septembre et décidera probablement de donner son accord pour son projet pluriannuel de mise à niveau de la paire de clés cryptographiques supérieure utilisée dans le nom de domaine. Protocole DNSSEC (System Security Extensions) – communément appelé clé de signature de clé de zone racine (KSK) – qui sécurise les serveurs fondamentaux d’Internet.

Changer ces clés et les rendre plus fortes est une étape essentielle de la sécurité, de la même manière que la modification régulière des mots de passe est considérée comme une habitude pratique par tout utilisateur d’Internet. La mise à jour aidera à prévenir certaines activités malveillantes, telles que le fait que des attaquants prennent le contrôle d’une session et orientent les utilisateurs vers un site qui pourrait par exemple voler leurs informations personnelles.

Ce roulement Root KSK de la KSK 2010 à la KSK 2017 devait avoir lieu il y a près d’un an, mais a été repoussé au 11 octobre de cette année en raison de préoccupations susceptibles de perturber la connectivité Internet d’un nombre important d’internautes.

Le basculement KSK consiste à générer une nouvelle paire de clés publique et privée cryptographique et à distribuer le nouveau composant public aux parties qui utilisent des résolveurs de validation, selon l’ICANN. De tels résolveurs exécutent des logiciels qui convertissent les noms de sites Web tels que networkworld.com en adresses IP numériques.

Les fournisseurs de services Internet fournissent ce service tout comme les administrateurs de réseau d’entreprise et les autres opérateurs de résolveurs DNS (Domain Name System) ; Développeurs de logiciels de résolution DNS; intégrateurs de systèmes; et les distributeurs de matériel et de logiciels qui installent ou expédient le « point d’ancrage de confiance » de la racine.

L’ICANN indique qu’elle s’attend à un impact minimal de la part de la racine KSK sur les utilisateurs, mais un faible pourcentage d’utilisateurs Internet pourrait rencontrer des problèmes pour résoudre les noms de domaine en adresses IP – ce qui signifie des problèmes pour atteindre leurs destinations en ligne.

Le problème n’est pas très répandu, mais reste préoccupant. «Il existe actuellement un petit nombre d’extensions de sécurité de système de noms de domaine (DNSSEC) validant des résolveurs récursifs mal configurés, et certains utilisateurs qui utilisent ces résolveurs peuvent rencontrer des problèmes». L’ICANN a écrit dans une récente publication . Les résolveurs récursifs reçoivent une demande de résolution DNS et recherchent le serveur DNS qui peut les satisfaire.

Verisign a récemment écrit  qu’au début de l’année, elle avait commencé à contacter les opérateurs de serveurs récursifs qui n’avaient signalé que l’ancienne ancre de confiance. Cependant, dans de nombreux cas, une partie responsable n’a pas pu être identifiée, en grande partie grâce à l’adressage dynamique des abonnés des FAI. En outre, à la fin de l’année dernière, l’ICANN a commencé à recevoir des données de signalisation d’ancrage de confiance provenant d’opérateurs de serveurs racine, ainsi que des données provenant de serveurs de noms récursifs. À l’heure actuelle, les pourcentages sont relativement stables à environ 7% des journalistes signalant toujours le point d’ancrage de confiance de 2010, a écrit Verisign.

Alors, quelles devraient être les entreprises et les autres parties du roulement, si cela devait se produire? Tout d’abord, l’ICANN indique que les utilisateurs qui s’appuient sur un résolveur doté du nouveau KSK et les utilisateurs qui utilisent un résolveur qui n’effectue pas la validation DNSSEC ne verront aucun impact. L’analyse des données suggère que plus de 99% des utilisateurs dont les résolveurs sont en cours de validation ne seront pas affectés par le roulement de la KSK, indique l’ICANN.

En ce qui concerne les entreprises, elles auraient déjà dû mettre à jour leur logiciel pour effectuer des renversements de clés automatiques (parfois appelés « RFC 5011 ») ou installer manuellement la nouvelle clé. S’ils n’ont pas activé les mises à jour automatiques, ils doivent le faire avant le 10 septembre ou le mécanisme de mise à jour ne sera pas correctement lancé à temps pour le transfert, a déclaré Paul Hoffman, technologue principal à l’ICANN.

« Notez qu’ils devraient faire la mise à jour indépendamment du fait que nous obtenions le feu vert pour faire le roulement le 11 octobre », a déclaré Hoffman. «La nouvelle clé fait déjà partie de l’ensemble des clés de confiance annoncées dans la zone racine, elle devrait donc constituer un point de confiance pour tout le monde.»

Un récent article de l’ICANN intitulé À quoi s’attendre pendant le roulement de la KSK raconte certaines des préoccupations spécifiques:

  • Si tous les résolveurs d’un utilisateur ne disposent pas de la nouvelle clé KSK dans leur configuration d’ancrage de confiance, l’utilisateur commencera à voir des échecs de résolution de noms (généralement des erreurs « Server Fail » ou SERVFAIL) à un moment donné dans les 48 heures. Il est impossible de prédire à quel moment les opérateurs des résolveurs affectés remarqueront que la validation a échoué pour eux.
  • Lorsque cet échec se produit, si l’utilisateur dispose de plusieurs résolveurs configurés (comme le font la plupart des utilisateurs), leur logiciel système essaiera les autres résolveurs configurés par l’utilisateur. Cela pourrait ralentir la résolution DNS car leur système continue d’essayer le résolveur qui n’est pas préparé avant de passer au résolveur préparé, mais l’utilisateur obtiendra toujours la résolution DNS et pourrait même ne pas remarquer le ralentissement.
  • Si tous les résolveurs de l’utilisateur ne sont pas préparés pour la substitution (par exemple, s’ils sont tous gérés par une organisation et que leur organisation n’a pas encore préparé leurs résolveurs), l’utilisateur commencera à voir une panne dans les 48 heures suivant la substitution. .
  • Les utilisateurs verront différents symptômes d’échec en fonction du programme qu’ils exécutent et de la façon dont ce programme réagit aux échecs des recherches DNS. Dans les navigateurs, il est probable qu’une page Web devienne indisponible (ou que seules les images d’une page Web déjà affichée risquent de ne pas apparaître). Dans les programmes de messagerie, l’utilisateur peut ne pas être en mesure d’obtenir de nouveaux messages ou des parties du corps du message peuvent afficher des erreurs. Les échecs se produiront en cascade jusqu’à ce qu’aucun programme ne puisse afficher de nouvelles informations sur Internet.
  • Dès que les opérateurs découvrent que la validation DNSSEC de leur résolveur échoue, ils doivent modifier leur configuration de résolveur pour désactiver temporairement la validation DNSSEC. Cela devrait entraîner l’arrêt immédiat des problèmes.
  • Après cela, l’opérateur doit installer, dès que possible, le KSK-2017 en tant qu’ancre de confiance et activer à nouveau la validation DNSSEC. ICANN org fournit des instructions pour la mise à jour des ancres de confiance pour le logiciel de résolution commun.

«Ce roulement de clé n’est pas une technologie nouvelle; En fait, lorsque le premier KSK a été ajouté à la zone racine en 2010, nous savions qu’il devrait changer à un moment donné », a déclaré Hoffman. «Le remplacement permettra de rendre le DNS plus robuste en ouvrant la voie à d’autres renversements à l’avenir, au fur et à mesure de leurs besoins.»

 

Laisser une réponse