Journée du conseil scientifique de l'AFNIC (JCSA) : séminaire sur la résilience de l’Internet

Je serais incapable de résumer chacune des conférences ayant eu lieu sans faire injure aux conférenciers, je vais donc uniquement revenir sur les éléments qui m’ont le plus marqué au cours de ce séminaire.

"Some thoughts about vulnerabilities and resilience of the Internet"

Daniel Karrenberg a commencé sa présentation par une citation d’Alexandre St Exupéry « La perfection est atteinte, non pas lorsqu'il n'y a plus rien à  ajouter, mais lorsqu'il n'y a plus rien à  retirer. »

Suivie de cette situation, le site de la SNCF 

Après quoi Daniel a décrit comment en passant par moultes sites différents pour des raison de société etc., il avait pu trouver ce qu’il cherchait.

Le chemin à parcourir était si difficile qu’il a finalement renoncé à rechercher sur le site de la sncf et a cherché de façon plus générale..

Là encore petite citation tirée d’un texte de l’union européenne, sur la nécessité de diversification de source d’approvisionnement. (le texte concernait à la base les ressources en gaz) mais la justesse du propos semble évidente sur tous les sujets. Diversifier c’est important, pour empêcher une dépendance, un monopole, une hégémonie…

Daniel a donc, comme des millions d’internaute…googlé. Of course. (Si ce sujet vous intéresse jetez un œil à Volunia, et à Fairsearch)

Les suivantes recherches l’ont amené sur des sites bien plus adaptés à ce qu’il recherchait : un formulaire de recherche, qui mène à un itinéraire avec billets à prendre, sans tenir compte de la société qui demande une redirection.

Donc être le site de référence pour les transports n’est pas forcément preuve de qualité…loin de là.

Daniel a ensuite montré sur différentes cartes les emplacements des roots serveurs, des global name serveurs (serveurs des extensions) etc. Simple petite remarque sur le sujet : on voit combien ces serveurs sont liés à la richesse des habitants, il y a par exemple très peu de serveurs en Asie, en Afrique, et en Amérique du Sud.

 

Restitution des résultats 2011 de l’observatoire de la résilience de l’Internet en France

Commençons par le commencement, un observatoire, pourquoi ?

  • Internet est en fait assez méconnu
  • Les analyses d’incidents existantes ne sont pas orientées vers la France
  • Etudier l’usage de bonnes pratiques

Il s’agissait donc tout d’abord :

  • de donner vie au concept
  • d’établir les bases d’étude de cette résilience
  • d’identifier et de mesurer afin d’étudier le comportement

Les paramètres choisis ont été les protocoles BGP (Border Gateway Protocol) et DNS (Domain Name Server). 

Le compte-rendu de l’observatoire a été fait de manière à permettre idéalement à toute personne intéressée par le sujet d’effectuer elle-même ces analyses sur les critères proposés.

Les conclusions de cet observatoire sont les suivantes :

Pour le BGP :

  • déclaration d’objet route non systématique
  • objets route déclarés non  fiables=>filtrage impossible
  • Les usurpations subies par les AS sont en fait légitimes
  • IPv6 encore rare

 

Pour les DNS :

  • Pas assez de serveurs de nom par zone
  • Pas d’assez d’Autonomous system (AS) (moyenne d’ 1,2)
  • Concentration de 36% des serveurs de nom en un seul AS
  • Une grande majorité des DNS se trouve en France
  • 10% des résolveurs ne sont pas patchés contre Kaminsky
  • Peu de DNSSec

En conclusion, l’Internet français se porte bien pour le moment mais doit voir à s’améliorer et se mettre à jour.

 

Résilience de l’Internet vue d’un opérateur de point d’échange Internet français

La résilience est selon Franck Simon (France-IX) l‘ensemble des points suivants :

Résilience de l’architecture sur les réseaux opérateurs

  • Résilience des infrastructures physiques des liaisons, comme les câbles (cf grand-mère arménienne, rongeurs)
  • Résilience des équipements
  • Résilience de l’hébergement des équipements (diversité, répartition des locaux techniques sécurisés)
  • Résilience de la topologie logistique des réseaux

Résilience des interconnexions physiques

  • Résilience des connexions des opérateurs sur les points d’échange Internet
  • Résilience des accès IP transit opérateurs (au moins 2 accès distincts) et infrastructures backbone (ou dorsales Internet) des opérateurs de transit
  • Résilience des hébergeurs, et CDNs (Content Delivery Networks)

Résilience des interconnexions logiques

  • Multiplicité des interconnexions BGP peering privé, peering public
  • Résilience du routage BGP
  • Sécurisation de interconnexions BGP et validation des informations transmises

=>Maîtrise stabilité du routage BGP

Résilience des ressources critiques de l’Internet

  • Résilience/redondance DNS
  • Diversité et réplications des serveurs DNS

Résilience de la supervision et de la politique de sécurité

  • Résilience de la supervision par infrastructure (se la poste de supervision globale plante, il faut pouvoir reprendre la main à un niveau local)
  • Supervision InBand via un sous réseau dédié
  • Définition d’une politique de sécurité

J’ai retrouvé en fait au cours de cette conférence beaucoup de points communs évoqués par Stéphane Bortzmeyer dans la matinée lors de son tutoriel sur la sécurité des noms de domaine.

 

Enfin, l’élément m’ayant le plus plu : les résultats de l’enquête de toile fond technologique

Tout d’abord l’enquête a été réalisée en grande majorité auprès des professionnels et les questions portaient non sur les espoirs des interrogés mais sur leur prévisions.

Tous les interrogés s’accordent sur les points suivants :

  • L'Internet restera l'infrastructure dominante pour les échanges mondiaux de données
  • Les DNS seront encore le moyen utilisé pour accéder aux serveurs des noms de domaines
  • Internet évoluera encore et s’améliorera

Leurs avis en revanche divergent grandement sur les points suivants :

  • La place occupée par les résolveurs des DNS locaux
  • Le déploiement d’IPv6

Les statistiques établies montrent que les interrogés tablent (sans mauvais jeu de mots) sur un plus grand usage des tablettes et smartphones, mais avec toujours une nette supériorité d’utilisation des PCs et laptops.

Pour le stockage des données : Les entreprises confieraient dans l’avenir plus le stockage de leurs données à un tiers, et cette tendance se vérifierait aussi dans la vie privée.

 

Pour finir

La table ronde qui a suivi ces résultats a donné lieu à plusieurs remarques, comme « A qui faire payer les attaques ? », aux éditeurs des logiciels ? à la personne ayant subie l’attaque ?

Autre suggestion : Interdire l’accès à Internet aux utilisateurs non prudents…

 

J’ai retenu de ce séminaire qu’Internet était aujourd’hui relativement résilient, mais il doit l’être davantage. Des événements comme ce séminaire bâtissent la résilience future !

 

La journée s'est terminée par un excellent cocktail offert par l'AFNIC. Un grand merci à cette dernière pour cette journée, ainsi qu’à tous les intervenants. Merci particulier à Daniel Karrenberg, Stéphane Bortzmeyer et Mohsen Souissi.

 

Commentaires

Pas encore de commentaire
Already Registered? Login Here
Guest
mercredi 28 octobre 2020

Image Captcha

By accepting you will be accessing a service provided by a third-party external to https://www.pulsar-agency.com/