Sept personnes détiennent des clés physiques contrôlant Internet : mythe ou réalité ?

clés
Crédits : Piqsels

Durant la dernière décennie, de nombreux médias ont colporté une sorte de légende stipulant que sept personnes détiendraient les « clés d’Internet ». Ces clés physiques seraient en outre au cœur d’un genre de cérémonie qui se déroulerait quatre fois par an.

Un peu de vrai et beaucoup de faux

Avec toutes les fake news et théories du complot, il est aujourd’hui assez difficile de démêler le vrai du faux. Durant les années 2010, de nombreux médias tels que Business Insider (États-Unis), The Guardian (Royaume-Uni) ou encore ABC News (Australie) ont par exemple publié des articles sur un genre de légende urbaine. Une fois tous les quatre mois, sept personnes détenant chacun une clé physique secrète se réunissent à l’occasion d’une « cérémonie ». L’objectif serait de sécuriser le Web en générant un nouveau mot de passe.

Selon les sources citées, les sept personnes en question appartiennent à l’Internet Corporation for Assigned Names and Numbers (ICANN). Il s’agit de l’organisation en charge de la gestion des noms de domaines (DNS) dans le monde entier. En théorie, la base de données de l’ICANN donne la possibilité de contrôler Internet. La rumeur circule en effet que si des personnes mal intentionnées y avaient accès, elles auraient la possibilité de rediriger les internautes vers de fausses adresses.

Or, l’ICANN renouvelle régulièrement la clé de chiffrement principale qui se trouve dans un data center où le niveau de sécurité est très haut. Pour y accéder, les sept personnes doivent ensemble utiliser leurs clés physiques pour ouvrir un coffre-fort.

ICANN logo
Crédits : ITU Pictures / Wikipedia

Un pouvoir assez limité

Les sources ont décrit la fameuse cérémonie qui ressemblerait à celle d’une secte. Les sept personnes doivent passer par une série de portes verrouillées par le biais de codes et de scanners de l’iris. Après seulement, elles reçoivent leur clé dans un sac hermétiquement fermé. Or, tout ceci est vrai, mais doit cependant être quelque peu nuancé, ce qu’a fait l’ICANN dans un communiqué publié en 2017 afin d’en finir avec la légende.

Les « clés d’Internet » existent vraiment, mais ne font pas fonctionner le Web. Elles servent dans un seul cas et dans des circonstances extrêmement réduites. En effet, le système protège seulement une petite partie d’Internet, à savoir la couche la plus profonde du DNS : le module de sécurité matérielle (HSM). Or, il s’avère que le Web repose aussi sur d’autres systèmes.

Les clés physiques de récupération ne sont utilisées que si un événement grave rendait le HSM inopérable. Il pourrait par exemple s’agir d’un bug catastrophique du logiciel Internet, un incident assez improbable selon les experts. Par ailleurs, les clés physiques servent à activer les codes stockés dans l’installation sécurisée. Ainsi, elles ne contiennent pas directement les clés cryptographiques de la zone racine, ce qui leur confère un pouvoir finalement assez limité.