Quatre fois par an, l'ICANN rassemble des experts du monde entier pour effectuer une "cérémonie de signature des clés" - un événement opérationnel critique qui est fondamental pour la sécurité du système de noms de domaine (DNS). À la lumière de la pandémie de COVID-19, des ordonnances de séjour à domicile et des restrictions de voyage associées, l'équipe de l'IANA s'est concentrée sur la façon de poursuivre ces opérations avec succès. Cette semaine, la planification se terminera par une cérémonie de signature de clés unique qui a été modifiée pour s'adapter à l'environnement actuel.
Les cérémonies de signature de clés sont des événements opérationnels spéciaux où l’ICANN utilise les clés cryptographiques qui sécurisent la zone racine DNS. Au cours de ces cérémonies, l’ICANN récupère la clé de signature de clé de zone racine (Key Signing Key - KSK) - une sorte de clé principale qui protège le DNS - de ses protections sécurisées et génère trois mois de signatures cryptographiques à utiliser pour la signature quotidienne de la zone racine. Le système est conçu pour impliquer un groupe diversifié d'experts en sécurité dans la communauté, appelés des représentants de confiance de la communauté, pour accéder au KSK. Ces membres de la communauté sont répartis dans le monde entier par conception pour aider à minimiser les risques; ils ne se réunissent au même endroit que lors d’une cérémonie.
La planification de la cérémonie de signature des clés commence six mois à l'avance. En février, il était presque certain que le COVID-19 pourrait avoir un impact sur la cérémonie prévue pour avril. L'organisation de l'ICANN évaluait les risques d'événements tels que l'ICANN67, et il était clair qu'il y avait un potentiel d'impact significatif sur sa capacité à effectuer une cérémonie de signature de clé en raison du besoin de rassembler des gens du monde entier. Avec le COVID-19, la répartition des rôles dans le monde est conçue pour réduire le risque total dans les opérations normales, mais dans ce cas, il est difficile de mener une cérémonie normale.
De nombreuses facettes différentes des opérations de cérémonie ont été évaluées. Il s’agissait notamment du lieu de la cérémonie et des risques liés à la logistique de son organisation.
En fin de compte, avec l'approbation du Conseil d'administration de l'ICANN, une cérémonie modifiée qui minimise le besoin de participation en personne a été adopté comme meilleur alternative. En utilisant cette approche, les représentants de la communauté de confiance ne seront pas physiquement présents. Au lieu de cela, leur rôle sera exécuté à distance, de même que d'autres rôles traditionnellement exécutés en personne. Au total, seules sept personnes seront physiquement présentes dans notre établissement sécurisé pour effectuer la cérémonie, toutes prenant des précautions pour minimiser les risques liés au COVID-19. Tous les autres rôles seront exécutés à distance.
Les éléments sécurisés utilisés lors de la cérémonie qui sont détenus par des représentants de la communauté de confiance ont été transférés de manière indépendante à différents membres du personnel de l'ICANN de la région de Los Angeles pour leur conservation. La cérémonie s’est effectué en toute transparence en utilisant le streaming en ligne et tout en continuant d'impliquer activement les représentants de la communauté de confiance dans la procédure via une participation à distance.
Un autre changement important apporté consiste à générer neuf mois de matériel signé, plutôt que les trois normaux. Ce faisant, il ne sera pas nécessaire de tenir une autre cérémonie clé pour le reste de 2020. Les documents supplémentaires signés donnent du souffle avant de chercher à revenir à une approche opérationnelle normale en 2021.
L’ICANN s’est dit convaincu d’avoir conçu une approche qui conserve toutes les protections de sécurité nécessaires pour garantir pleinement que le KSK est sécurisé, tout en apportant les adaptations nécessaires pour garantir que les opérations Internet fondamentales sur lesquelles tout le monde dépend ne soient pas affectées. Ces changements ont été jugés nécessaires par l’organisation pour le maintien de la sécurité de ces membres et de son personnel. “Nous devons organiser la cérémonie dans ce format pour le bien-être de tous” a dit l’organisation.
Il s’est donc tenu le jeudi 23 avril à 17h00 UTC cette cérémonie de signature des clés nouvellement configurée. Le livestream, le script et d'autres documents sont disponibles sur https://www.iana.org/dnssec/ceremonies/41
Lieben AHOUANSOU
Analyste en Cybersécurité
