Archives par mot-clé : icann

la sécurité des DNS grandement mise en danger

DNS Le président de l’Icann dramatise la situation autour de l’insécurité des DNS. Chris Disspain, président du conseil du ccNSO réfute cette description et défend l’énorme travail réalisé pour protéger les DNS. Il ne veut pas que l’on inquiète inutilement les gouvernements sur ce sujet.

Lors d’un discours, tenu mardi 9 mars à Nairobi (plus grande ville du Kenya) pendant la session du comité consultatif de l’Icann, le président de l’Icann, Rod Beckstrom a déclaré qu’il était nécessaire de concentrer les efforts pour protéger le service de nom de domaine DNS (Domain Name Service), car le système est soumis à des attaques, le rendant fragile et vulnérable, et pourrait « être mis hors de service à tout moment ».
Lors de cette séance, le dirigeant a souligné auprès des membres que plusieurs abus avaient été commis contre le DNS par certains pays, dont le nom n’a pas été dévoilé. Il a promis d’écrire aux membres du Comité consultatif pour s’enquérir de l’état du DNS chez eux.
« Le système de nom de domaine, est, comme jamais auparavant, sous le feu d’attaques préoccupantes. J’ai personnellement consulté au niveau international

Continuer la lecture de la sécurité des DNS grandement mise en danger

DNSSEC sur les serveurs racine de l’Internet

 

DNS C’est parti ! L’Icann, l’organisme qui gère les noms de domaine, et l’opérateur VeriSign ont décidé de mettre les bouchées doubles dans l’implémentation du protocole DNSSEC (DNS Security Extensions) avec, à la clé, une feuille de route précise pour le déploiement sur les serveurs racine. Ensuite, Verisign implémentera ce protocole sur les domaines .com et .net, dont il est responsable.

DNSSEC est un protocole qui, grâce à un système de signature électronique, permet de vérifier l’authenticité de la réponse d’un serveur DNS. Son fonctionnement est hiérarchique. Chaque serveur d’une zone DNS (.fr, .com, inria.fr, etc.) disposera d’une paire de clés de signature à chiffrement asymétrique, appelée Zone Signing Keys (ZSK). L’une des clés est publique, l’autre privée. Cette dernière sert à signer les données DNS que délivre le serveur de zone. Un client DNS qui reçoit une réponse signée d’un de ces serveurs pourra déchiffrer la signature au moyen de la clé publique et vérifier, ainsi, la provenance et l’intégrité des données.

Pour autant, ce système de clés ne permet pas de savoir à 100 % si le serveur lui-même est réellement digne de confiance : un usurpateur pourrait se substituer à lui et diffuser ses propres ZSK. C’est pourquoi les serveurs de zone disposent d’une deuxième paire de clés asymétriques. Appelées Key Signing Keys (KSK), elles servent à signer les ZKS des zones inférieures (01net.com, afnic.fr, etc.), créant ainsi une chaîne de confiance sur l’ensemble des URL. Un navigateur n’obtiendra la confiance d’une zone de niveau n (01net.com), que s’il a obtenu la confiance des zones de niveau supérieur (.com).

Une paire de clés maître pour sécuriser tout l’Internet

Continuer la lecture de DNSSEC sur les serveurs racine de l’Internet

Origine et histoire de Internet

web Une histoire de stratégie

Pour percer les mystères de la Toile, il faut étudier son fonctionnement technique. Parmi la multitude de technologies employées dans Internet, quelles sont celles qui sont réellement fondamentales ? Une fois celles-ci identifiées, il est plus facile de comprendre qui est aux manettes. Internet n’est pas le fruit du hasard, mais bel et bien le résultat du travail de chercheurs, d’informaticiens, dont le but était l’interconnexion de machines. Et pour tout dire, il s’agit de l’évolution d’une réalisation militaire américaine. La volonté de faire communiquer entre eux des ordinateurs distants de chercheurs remonte au début des années 1960, et a été initiée par la Darpa (Defense Advanced Research Projects Agency), le service des recherches avancées du département de la Défense américain. Les axes de recherche étaient d’ailleurs très notablement influencés par des considérations militaires : dans les réflexions initiales, on retrouve les traces de la volonté de mettre au point un système de communication capable de se maintenir, même en cas d’attaque nucléaire. Le projet de la Darpa aboutit à la mise en place d’un réseau décentralisé nommé Arpanet.

Petit à petit, des universités furent incluses dans le projet, participant au développement de ce premier grand réseau informatique. Toujours sous la houlette de la Darpa, cet Internet naissant va petit à petit être géré par la National Science Foundation (NSF), une agence gouvernementale américaine dédiée au soutien de la recherche scientifique fondamentale, à partir de 1977. Mais les liens avec l’administration militaire américaine restent extrêmement forts : si la NSF aide au développement du réseau, sa gestion au quotidien relève de l’Internet Assigned Numbers Authority (IANA), un service de la Darpa.

Internet devenant de plus en plus ouvert, interconnectant de plus en plus de réseaux civils, les militaires américains décident, en 1983, de s’en détacher pour créer Milnet, leur propre réseau. Pour s’occuper du développement de l’Internet civil, c’est alors la National Telecommunications and Information Administration (NTIA) qui prend la main, une agence gouvernementale dépendant du département du Commerce, le ministère du Commerce.

L’importance de plus en plus grande d’Internet, l’apparition de plus en plus d’acteurs, d’organismes chargés de définir des normes, de sociétés commerciales opérant des services commerciaux basés sur Internet, a abouti à une très forte pression sur l’administration Clinton afin qu’Internet ne soit plus sous la houlette du seul gouvernement. En 1998 est créée l’Internet Corporation for Assigned Names and Numbers (Icann). Il s’agit d’une société privée, de droit californien, qui a repris le rôle du NTIA et qui, surtout, exerce ce que l’on appelle aujourd’hui la fonction IANA, absolument fondamentale : par l’exercice de cette fonction, l’Icann décide de tout ce qui touche à l’attribution des noms de domaine dans le monde entier…

Une histoire de noms

Finalement, Internet se résume à un mode de communication entre ordinateurs sur un réseau. Ce qui n’est pas une mince affaire ! Il faut établir un langage précis, s’assurer que tous les ordinateurs le comprennent, éviter les situations cacophoniques où tout le monde se parlerait en même temps, etc. Bien sûr, afin que les ordinateurs puissent communiquer, ils doivent en premier lieu pouvoir s’identifier. C’est la base même d’Internet : tous les ordinateurs doivent disposer d’une adresse IP, un identifiant unique, qui prend la forme d’une série de quatre nombres séparés par un point. Mais voilà, il faut impérativement que les adresses soient véritablement uniques : il serait impossible de se connecter à un site Web avec un navigateur si son adresse IP renvoyait vers des dizaines d’ordinateurs disséminés dans le monde. Il faut donc veiller à ne pas attribuer les adresses IP n’importe comment.

C’est l’Icann qui, en premier ressort, détermine quelles sont les plages d’adresses IP disponibles dans le monde et qui a le droit de les utiliser. Localement, ce sont des organismes que l’on appelle les RIR (registre Internet régional) qui distribuent les adresses IP que l’Icann leur a attribuées. Il existe cinq RIR. Celui qui gère les adresses IP pour l’Europe s’appelle Ripe-NCC.

Mais l’adresse IP numérique, vitale pour permettre aux ordinateurs de se reconnaître, est très peu pratique pour les utilisateurs. On dispose donc également d’adresses textuelles, celles que nous utilisons sous la forme www.microhebdo.com, www.01net.com, www.elysee.fr, par exemple. Il s’agit du système des noms de domaine. Pour le comprendre, il suffit de lire à l’envers l’adresse : www.elysee.fr signifie qu’il s’agit d’un ordinateur enregistré en France (le domaine.fr), couvrant les activités de l’Elysée (.elysee), et s’occupant d’afficher le site Web (www).

C’est très pratique mais, pour que cela fonctionne, il faut, à chaque connexion, traduire aux ordinateurs l’adresse lisible en adresse IP numérique. Interviennent alors les serveurs de noms de domaine (Domain Name System ou DNS) : quand on tape l’adresse www.micro hebdo.com dans un navigateur Web, une première requête est faite à un serveur de nom de domaine qui indique les serveurs qui peuvent fournir une réponse pour le domaine.com. L’un de ces serveurs précisera alors quel autre serveur est apte à aiguiller dans la zone elysee.fr. Et enfin, ce dernier serveur pourra donner l’adresse IP complète du site recherché. Cette séquence d’interrogation est réalisée pour chaque consultation de site. Les serveurs capables d’effectuer la toute première étape, aiguiller vers les serveurs qui gèrent les domaines dits de premier niveau (.com, .org, .fr…), sont appelés les serveurs racines du DNS. Ils ne sont que treize dans le monde.

Les treize serveurs vitaux

Attention toutefois, chacun de ces serveurs a de nombreux miroirs, et parfois, ils ne sont même pas hébergés à un seul endroit. En tout, ces treize serveurs, absolument vitaux pour le fonctionnement d’Internet, sont répartis dans le monde dans près de 170 endroits. Et, bien qu’au quotidien ils soient supervisés par des sociétés privées, des universités ou des administrations, il ne s’agit que de délégations fournies par l’Icann, décisionnaire en dernier lieu. Qu’il s’agisse donc des adresses IP numériques ou des noms de domaine, le maître, c’est l’Icann.

Il existe une kyrielle d’organismes qui participent à la régulation d’Internet et l’établissement des standards : W3C ; Internet Society (Isoc) ; Internet Architecture Board (IAB) ; Internet Engineering Task Force (IETF) ; Forum de la gouvernance Internet (FGI), etc. Mais en dernière instance, le fonctionnement d’Internet dépend principalement de l’Icann qui tire son pouvoir d’un contrat le liant au ministère du Commerce américain, qui en nomme tous les membres.

Les conséquences politiques sont réelles : en 2005, par exemple, le nouveau domaine en .xxx devait être ouvert, permettant d’identifier plus facilement les sites à caractère pornographique. L’Icann avait donné son accord. Mais à deux jours de la signature finale de l’acte fondateur, l’Icann a revu sa position et bloqué la création du nouveau domaine : le ministère du Commerce américain, sous la pression de pétitions d’organisations conservatrices, avait en effet signifié son refus de créer le .xxx.

D’autres faits, comme les conditions d’attribution des délégations pour la gestion des noms de domaine .iq, pour l’Irak, et .af, pour l’Afghanistan, montrent une mainmise politique américaine sur Internet.

Une histoire de politique

De fait, en imaginant un scénario de fiction de conflit armé, les Etats-Unis, de par le contrôle qu’ils exercent sur l’Icann et son partenaire technique, la société VeriSign, sont la seule nation qui pourrait « rayer » d’Internet un pays entier, en décidant de couper soudainement son extension.

La Commission européenne, par le biais d’une communication de Viviane Reding, commissaire chargée de la Société de l’information et des médias, a appelé, en juin dernier, à plus de transparence et de responsabilité multilatérale dans la gouvernance de l’Internet. Mais les faits ne semblent pas lui donner raison : depuis les attentats du 11 septembre, l’attitude des Etats-Unis, qui étaient en passe de se retirer progressivement afin de laisser la gouvernance d’Internet au secteur privé, s’est complètement modifiée. Une échéance très importante approche, car le 30 septembre 2009 se termine le contrat qui lie l’Icann au gouvernement américain.

Une occasion de mettre en place une nouvelle approche plus multilatérale ? Certainement pas. Le gouvernement américain a donné un signal fort, il y a quelques semaines, en choisissant le nouveau président de l’Icann. L’homme, Rod Beckstrom, n’est autre que l’ancien directeur du Centre national de la cybersécurité (NCSC) des Etats-Unis. Le message est on ne peut plus clair : Internet est un domaine stratégique dont, pour des raisons de défense nationale, les Etats-Unis ne sont pas prêts à lâcher le contrôle

Lire l’article sur : 01net…

Internet court au schisme, selon l’un de ses inventeurs

Louis Pouzin - inventeur du concept de datagrammes utilisés dans TCP/IP

Internet va évoluer vers une fédération de réseaux sécurisés où il faudra montrer patte blanche, selon Louis Pouzin – l’un des précurseurs à l’origine d’internet – interviewé par la rédaction de notre confrère CIO-online.com lors des Assises des TIC 2009.

Le nom de Louis Pouzin ne dit pas forcément grand chose aux jeunes usagers d’Internet. Mais cet homme, à l’origine des travaux sur les échanges efficaces de paquets sur les réseaux, a rendu possible le protocole TCP/IP et l’Internet.
Cela ne l’empêche nullement, bien au contraire, de souligner les faiblesses propres à l’architecture actuelle, entièrement entre les seules mains des Etats-Unis ou presque. « Internet est un réseau expérimental depuis plus de trente ans et il l’est resté » juge-t-il. Et il ébauche l’architecture du futur Internet telle qu’elle peut être déjà prévue.
La rédaction de notre confrère CIO-online.com l’a interviewé lors de la plénière du soir du premier jour des Assises des TIC 2009 qui se sont déroulées à Marseille du 24 au 25 juin 2009.
Afin de présenter l’objet de ses travaux, il faut se souvenir qu’il existe deux façons de transporter une information que l’on pourrait qualifier de « méthode du coursier » et de « méthode du postier ». Dans le premier cas, l’ensemble des informations suit une voie définie entre un émetteur et un récepteur. Cette architecture est sûre quand elle marche mais fragile face à des agressions sur les infrastructures ou des pannes techniques. Elle se révèle surtout vite coûteuse puisque les moyens matériels doivent être multipliés.
Le deuxième choix est conceptuellement plus complexe mais se révèle plus rentable : tous les paquets d’informations issus d’un nombre indéfini d’émetteurs à destination d’un nombre autant indéfini de destinataires peuvent utiliser une infrastructure complexe à chemins multiples, choisis au hasard parmi des possibles. Si malgré tout un paquet se perd, le destinataire en demande la réémission à l’émetteur par le même mécanisme. Internet repose sur ce second choix.
Cyclades, la réponse française à l’Arpanet Américain

Continuer la lecture de Internet court au schisme, selon l’un de ses inventeurs