Home » Idioties, Internet

Ils vont nous redémarrer Internet !

29 juillet 2010 198 vues 3 commentaires
tags : , ,
Download PDF

Sisi. Puisque la presse vous le dit !

C’est en gros titre dans quelques canards en ligne depuis le début de la semaine. Il parait que 7 gugusses (pas du tout dans un garage) ont les clés pour redémarrer internet en cas de soucis. Même Gizmodo, qui d’habitude recherche un peu de background technique pour ses articles a relayé la nouvelle sans chercher plus loin.

Alors c’est quoi, cette histoire de 7 gugusses qui peuvent redémarrer internet ? D’abord, ça a un rapport avec le poisson d’avril de SVJ de cette année qui prédisait un arrêt d’Internet le 5 mai dernier (arrêt qui n’a pas eu lieu .. Enfin, pas partout). Ce jour la, les 13 serveurs racine DNS mondiaux ont commencé a fournir, en plus des réponses aux questions qui leur étaient posées, des signature numériques, permettant de s’assurer que les réponses étaient réellement valide et qu’un attaquant ne s’était pas glissé dans la communication.

Mais pour qu’un système de signature soit valable, il faut pouvoir vérifier cette signature. C’est la qu’interviennent les 7 gugusses avec leur carte à puce. Ils ont, sur les fameuses cartes en question, une partie de la clé permettant de régénérer la signature principale à laquelle tout le monde est censé faire confiance.

Cette clé a été générée le 16 juin pour la première fois et est utilisable réellement depuis le 15 juillet.

Seulement voila :

  • Il faudrait déjà que tout le monde lui fasse confiance, ce qui est aujourd’hui loin d’être le cas
  • Il faudrait ensuite que tous les serveurs DNS du monde soient configurés pour utiliser DNSSEC et rejeter toute information invalide ne correspondant pas a cette clé (ou a une autre située plus loin dans la chaine)

Il est possible que, d’ici quelques années, ce soit le cas pour la majorité des serveurs DNS, mais a l’heure ou l’on parle, les 7 gugusses et leurs cartes à puce ont autant de pouvoir sur le bon fonctionnement d’Internet que mon chat sur le problème des embouteillages sur le periph parisien. Et si un problème devait arriver avec la clé en question, il y a fort à parier que le temps que 5 de ces 7 gars se réunissent pour définir une nouvelle clé, tous les administrateurs de serveurs DNS aient purement stoppé la vérification des signature DNSSEC pour assurer un fonctionnement correct de leurs infrastructures.

A titre d’info, les heureux élus sont Bevil Wooding, Dan Kaminsky, Jiankang Yao, Moussa Guebre, Norm Ritchie, Ondřej Surý et Paul Kane. Ce sont les 7 « Recovery Key Share Holders ». Il y a aussi 21 crypto officer et 6 backup recovery key share holders. Et parmis ces 34 personnes qui sont censées avoir un rôle crucial dans la bonne tenue d’Internet, on a pas un seul français … mais depuis le fiasco du lancement du portail france.fr le 14 juillet dernier, on sait bien que les français sont nuls en internet :)

Edit : Le recrutement de ces 34 personnes s’est fait sur la base de la réputation et des écrits en matière d’internet et de sécurité. Quelques français auraient pu être candidat, mais le revers de la médaille de cette glorieuse position, c’est que l’ensemble des frais dévolus a cette fonction sont pour la pomme de la personne concerné. Au final, ça fait joli sur une carte de visite, mais c’est a peu près tout !

Edit2 : comme a son habitude, bortz a sorti un article plutôt bien fait sur le sujet avec une description plus détaillée du pourquoi du comment de la mission des 7 RKSH et des autres TCR dans toute cette affaire.

Edit3 : on me signale, a juste titre, que les 7 gugusses n’ont pas le moyen de définir une nouvelle clé (c’est le rôle des crypto officers), mais simplement celui de déterrer la clé actuellement utilisée si jamais les systèmes qui la détiennent en état de marche l’oublient par inadvertance.

3 Comments »

  • Sniper said:

    Il y en a marre des remakes des 7 boules de cristal :)

  • corrector said:

    Je pense qu’on devrait adopter DNSSEC au plus vite (enfin, après des années de tergiversations et de sur-place, le « au plus vite » est très relatif) UNIQUEMENT pour que tout ce beau monde n’ai pas l’impression d’avoir fait des « frais » pour rien.

    Sérieusement, faut arrêter de glandouiller.

  • Bruno (author) said:

    Ils vont continuer a glander longtemps, leur rôle étant limité a aller repêcher la clé si les serveurs de prod sont tous cassés.

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


six − = 2