Au comptoir du savoir

Disclaimer:

Je tiens à préciser que mon but n'est pas de concurrencer des sites comme Savoir Inutile ou Se Coucher Moins Bête qui sont pour moi des sites de références en la matière. Il faut plus voir ceci comme une base de connaissances et de savoirs qui ont retenu mon attention.
J'insiste également sur le fait que ces savoirs ont été valables lorsque je les ai écrit mais que depuis, ils ont pu changer.

14 personnes contrôlent-elles Internet ?

Quand une chose est entourée de secrets et de mystères, il est commun de retrouver bons nombres de théories farfelues, conspirationnistes et j'aimerai en décortiquer une avec vous aujourd'hui. La légende raconte que 7 personnes principales et 7 personnes de secours possèdent une clé. Les 7 clés réunies permettraient de contrôler Internet. Ainsi tout le réseau dépendrait en réalité de ces 7 personnes qui se réunissent tous les trimestres dans une cérémonie très sécurisée et protégée nommée "la cérémonie des clés". Dan Brown doit adorer le concept. 

Je comprends que Internet soit assez obscur pour les non-initiés mais je vais faire de mon mieux pour être le plus clair possible. Pour communiquer et naviguer sur un réseau, vos machines utilisent ce qu'on appelle une adresse IP. C'est une série de 4 nombres allant de 0 à 255. Par exemple, ce site est sur la machine 185.22.110.14. Mais, on est d'accord que ce n'est pas très parlant. On préfère largement "aucomptoirdusavoir.yann-bidon.fr". C'est plus clair et facile à retenir. Et pour cela, on a des machines qui jouent le rôle d'annuaire, qu'on appelle serveur DNS, et qui font la transcription aucomptoirdusavoir.yann-bidon.fr = 185.22.110.14.  

Cependant, cela peut poser des problèmes de sécurité. Car comment puis-je faire confiance à ces serveurs DNS ? Si je tape le site de ma banque, comment puis-je être sûr que c'est bel et bien le site de ma banque qui est affiché et non pas un faux site pirate prêt à me voler mes informations bancaires. Pour cela, il y a une certification qui est mis en place. Le serveur DNS vous certifie que c'est le bonne adresse. Mais comment puis-je croire cette certification? Car cette certification est elle-même certifiée par un organisme plus important. Et ça monte, et ça monte, jusqu'à un organisme racine que l'on considère que si c'est certifié par lui, alors c'est bon. Cet organisme est l'ICANN, l'Internet Corporation for Assigned Names and Numbers. Et pour faire une telle certification, il utilise une clé numérique qu'il est le seul à connaitre. Cette dite clé est renouvelée tous les 3 mois pour éviter qu'un pirate ait le temps de la cracker par force brute. Et c'est là qu'interviennent les 7 clés. 

Les 7 clés permettent simplement de lancer le processus de regénérations trimestrielles. En aucun cas les clés ne sont des sauvegardes ou ne possèdent des éléments compromettants sur la clé numérique de l'ICANN. Les clés servent à ouvrir 7 coffres qui contiennent 7 cartes à puces qui permettent à chacun de lancer une étape de la regénération (rentrer une clé de décryptage pour lire les autres clés, lancer le démarrage du processus, autoriser le démarage du processus, lancer le système de sauvegarde,...). Donc les clés sans les infrastructures de l'ICANN qui gèrent le système de la clé qu'on appelle HSM, ne servent à rien. De même, le HSM ne peut rien faire sans les autorisations que lui délivrent les 7 clés. Mais à aucun moment les clés interviennent et touchent la clé numérique de l'ICANN. Ces 7 personnes et leurs 7 remplaçants ne sont pas des dirigeants et autres conspirateurs, ce sont des experts techniques reconnus mondialement pour leurs travaux (ce qui n'est pas synonyme de reconnus du grand public, je précise). 

Que se passe-t-il si la clé n'est plus générée ou si, pire, elle est volée? Est-ce la fin d'Internet? Loin de là. Cela casserait tout un pan de la sécurité et on ne pourra plus garantir avec une certitude absolue que les DNS sont correctes. Après, sans même monter jusqu'à l'ICANN, je pense qu'on peut faire confiance à des organismes comme le DSN de Google (8.8.8.8) qui même s'il n'est plus garanti par l'ICANN restera vrai. C'est surtout que maintenant, des faux sites pourraient paraitre comme totalement légaux. Et enfin, les DNS ne sont pas tout Internet, on peut toujours communiquer par IP et le HTTP, bien qu'important n'est pas le seul système de communication existant. Genre, jeunes pirates, ça ne perturbera pas vos téléchargements en P2P. 

Je vous laisse ici le billet de l'ICANN sur le sujet : https://www.icann.org/news/blog/le-probleme-avec-les-sept-cles

Tags : Idée reçueInformatique