Plusieurs membres du personnel d’ICANN ont participé aux conférences Black Hat et Defcon la semaine dernière, pour le déploiement du DNSSEC à l’échelle de la communauté mondiale de sécurité Internet.
Black Hat est l’une des principales conférences de sécurité au monde, et attire environ 5 000 participants sur place et de nombreux autres en ligne. Defcon est un événement relatif aux hackers, auquel participent également des entités gouvernementales et de sécurité. Près de 10 000 personnes étaient inscrites à l’événement de cette année. Ce sont là des communautés d’importance pour ICANN.
Le président de Black Hat, Jeff Moss, s’est adressé à des milliers de participants lors de la session d’ouverture, et a posé une question audacieuse. On parle de la sécurité et on en débat depuis le début de l’histoire de Black Hat, il y a 13 ans, mais quels progrès avons-nous réellement réalisés ? De quelles véritables réussites pouvons-nous être fiers ? La croissance du trafic malveillant sur le Net est bien supérieure à celle du trafic légitime. La communauté de sécurité d’Internet, a-t-il déclaré, n’a, jusqu’à ce jour, aucune réalisation concrète d’envergure à montrer en compensation de nos efforts. Le lancement du DNSSEC a lieu aujourd’hui, alors qu’il y a quelques jours seulement les racines d’Internet étaient cryptées. C’est là la première amélioration conséquente en matière de sécurité d’Internet depuis les débuts de Black Hat, et nous pouvons en remercier ICANN.
Cette réalisation a donné le ton à d’autres réussites, dont:
Le discours d’introduction de Whit Diffie lors de la session exécutive
Quatre-vingt leaders de gouvernements et de multinationales ont participé à un programme exclusif d’une journée, la veille de l’inauguration de Black Hat. Whit Diffie, vice-président de la sécurité de l’information et de la cryptographie d’ICANN, principal intervenant lors du déjeuner, a grandement impressionné les auditeurs, dont bon nombre connaissait sa réputation internationale de cryptographe pionnier.
Le panel vulnérabilité DNS de Black Hat
La participation a été importante lors de l’événement, qui a entièrement porté sur la manière de réussir un déploiement du DNSSEC à tous les niveaux. La discussion animée a inclus Whit Diffie ; Sandy Wilbourn, directeur de la technologie chez Nominum ; Ken Silva, directeur de la technologie chez VeriSign ; Mark Weatherford, ancien officier en chef de la sécurité de l’information de l’Etat de Californie, qui a déployé le DNSSEC ; Dan Kaminsky, scientifique en chef chez Recursion Ventures, un activiste du DNS, et moi.
Conférence de presse pour le lancement du DNSSEC, avec une intervention en direct dans la réunion de l’IETF à Maastricht
La conférence de presse a été bien suivie par les médias internationaux, à la fois techniques et généraux. Russ Housely, président de l’Internet Engineering Task Force, a été contacté par vidéo, ainsi que Mark McLaughlin, P.d.-g. de VeriSign et Dan Kaminsky. Russ nous a fourni d’excellentes explications détaillées en réponse aux nombreuses questions, et le niveau de la conférence de presse a été grandement rehaussé du fait de sa participation. Des douzaines d’articles à propos du DNSSEC ont été publiés, y compris un article de l’Agence France Presse qui a été repris par les agences de presse internationales, ainsi que des papiers dans le National Journal, sur MSNBC, CBS News et ABC News. Pour se rendre compte de la couverture médiatique, on peut visiter la page:
http://news.google.com/news/search?aq=f&pz=1&cf=all&ned=us&hl=en&q=dnssec
La session de Kaminsky à Black Hat sur la manière de mettre le DNSSEC en application pour la navigation sur Internet, les courriels et les sites Web
Plus de 1 000 personnes se sont pressées pour écouter Dan présenter une série d’outils qui peuvent rapidement et aisément signer cryptographiquement tout site Internet. Bien qu’ayant initialement douté de la nécessité du DNSSEC, Dan a déclaré qu’il avait eu tort et qu’il y croit maintenant fermement. Il a incité toutes les personnes impliquées dans l’industrie à mettre en œuvre cette technologie importante. Il a montré aux personnes présentes une version privée du navigateur Google Chrome qui est entièrement équipée du DNSSEC, ainsi que des outils qu’il a créés pour ajouter le DNSSEC aux navigateurs Internet Explorer et Mozilla Firefox. Dan a conclu en faisant une démonstration de courriel paramétré avec le DNSSEC et a annoncé qu’il posterait le code permettant au courriel envoyé et reçu sur Microsoft Outlook d’être protégé par le DNSSEC. Le public était bluffé.
Le panel vulnérabilité DNS de Defcon
Ce panel incluait Rick Lamb et Mehmet Akcin d’ICANN, Sandy Wilbourn de Nominum, Ken Silva de VeriSign et Dan Kaminsky. Environ 800 personnes participaient à l’événement. Mehmet a rapporté que la session avait été interactive et constructive, et que le public avait bien participé.
Réussites et leçons apprises
Le haut niveau d’implication des participants à propos du DNSSEC et leur intérêt pour ICANN démontrent que ces deux événements ont contribué à propulser les efforts de long terme en faveur de l’adoption universelle du DNSSEC.
Les panels et les présentations ont grandement contribué à promouvoir le DNSSEC. La leçon la plus importante à tirer de l’expérience d’ICANN à Black Hat et à Defcon demeure l’une des nos philosophies de travail: la collaboration est efficace. Nous avons clairement fait comprendre que tout le monde a un rôle à jouer pour améliorer la sécurité internationale d’Internet, et avons convié les participants à prendre part à la solution. Nombre de participants ont annoncé qu’ils inciteraient leurs domaines géographiques Internet, leurs propres sociétés et les sociétés de logiciel à améliorer leurs offres de produits pour promouvoir le DNSSEC. Les participants ont bien compris que cette première ancre centralisée de confiance constitue la fondation des améliorations de sécurité globale à venir.
La première participation officielle d’ICANN à Black Hat et à Defcon, avec la présence de nombreux cadres officiels des communautés nationales de sécurité américaines et d’autres membres de gouvernement, a également contribué à positionner ICANN en tant qu’acteur important sur la scène internationale de la sécurité Internet. Je pense que notre plus grande réussite a été la cote d’estime que nous avons obtenue auprès de la communauté de sécurité internationale et des gouvernements avec lesquels elles collaborent.
Encore un grand merci à tous les membres de l’Internet Engineering Task Force pour avoir cru au DNSSEC depuis le début. Tout ceci n’aurait pas pu être sans leur engagement inconditionnel.