Juin 09 : VERISIGN "contrôle" Internet
....
Un aspect moins connu de la gouvernance d'Internet : la "signature" DNSSEC de la racine
La sécurité est de plus en plus le mot-clef de la gouvernance de l’internet. Le phénomène n’est pas récent, mais les derniers développements de la "cyber warfare" donnent une résonnance très crédible aux incantations d’usage. La Faille Kaminsky, qui n’est pas une attaque en elle-même mais qui a révélé un niveau de vulnérabilité insoupçonné du DNS, a servi de catalyseur pour promouvoir DNSSEC, protocole permettant d’authentifier les serveurs DNS et empêchant par ce moyen les attaques fondées sur des empoisonnements de cache (usurpation de "l’identité" d’un serveur DNS pour intoxiquer les autres au moyen de fausses informations). La propagation de DNSSEC se heurtait néanmoins à deux obstacles : d’une part, il n’y avait pas de "détenteur de la clef ultime" du système, celui qui fait autorité et certifie les premiers serveurs DNS etc. de proche en proche. D’autre part, il faut que tous les serveurs DNS fonctionnent avec DNSSEC si l’on veut que ce dispositif soit vraiment efficace.
Le deuxième obstacle sera sans doute long à surmonter, mais le premier a été résolu ce mois-ci (juin 09) avec la décision de la NTIA et du NIST américains (23) de confier la "signature" de la racine à Verisign, en y associant l’ICANN pour la bonne forme. Verisign, qui cumule la gestion du serveur racine A, celle des extensions COM et NET, ainsi que la racine ONS d’EPC Global, tend manifestement à faire mentir l’adage qu’il ne faut pas mettre tous ses oeufs dans le même panier. Une telle concentration de responsabilités techniques pour un réseau construit sur le principe de la déconcentration laisse en tout cas rêveur !
Sur le sujet de la sécurité toujours, signalons une alerte (24) émise par l’ENISA, agence européenne pour la sécurité numérique, qui déplore le manque de compétences et de respect des "meilleures pratiques" en matière d’utilisation de technologies clefs telles que DNSSEC, IPv6 ou MPLS (multi-protocol label switching). L’ENISA pointe notamment du doigt le fait que si les technologies en question peuvent réellement améliorer la "résilience" et la sécurité de l’internet, leur commercialisation pose problème ainsi que l’absence de coopération et le manque de management. L’Agence en tire trois recommandations qui peuvent intéresser tous les acteurs de la cyber sécurité : assurer une connectivité résiliente des organismes européens ; exploiter l’expertise et l’expérience de l’Europe, ainsi que les bonnes pratiques déjà définies ; et s’assurer qu’il y ait en Europe des experts entraînés sur ces questions.
Ces préoccupations recoupent celles d’un colloque (25) organisé en juin 09 par l’Assemblée nationale sur le thème "Souveraineté numérique : comment prévenir les menaces numériques ?" (on retrouve ici encore cette idée d’association intime entre gouvernance et sécurité). Les constats des experts présents sont rien moins qu’inquiétants pour la France : des moyens nettement inférieurs à ceux des autres pays, des systèmes de cryptologie "reposant sur des suppositions" [de fiabilité], un trafic de recherche des internautes français massivement draîné par Google (91%)...
Quelques solutions sont pourtant à portée de main, des plus ambitieuses, comme le fait de s’appuyer sur la technologie quantique pour renforcer notre souveraineté numérique, jusqu’aux plus évidentes en apparence, mais qui gagneraient à être réellement appliquées, comme les "3C" que sont la Communication, la Coordination et la Coopération entre les acteurs. Une petite révolution culturelle en perspective pour certains organismes considérant par tradition que l’information a plus de valeur lorsqu’elle est détenue que lorsqu’elle est partagée...
Ce texte est extrait de l'Edito - Juin 2009 - de l'excellente e-newsletter DNS-NEWS, publiée par L. Damilaville.
France
(23) Commerce Department to Work with ICANN and VeriSign to Enhance the Security and Stability of the Internet’s Domain Name and Addressing System
(24) EU security agency warns on European network resilience
(25) Souveraineté numérique : comment prévenir les menaces numériques futures ?
Un aspect moins connu de la gouvernance d'Internet : la "signature" DNSSEC de la racine
La sécurité est de plus en plus le mot-clef de la gouvernance de l’internet. Le phénomène n’est pas récent, mais les derniers développements de la "cyber warfare" donnent une résonnance très crédible aux incantations d’usage. La Faille Kaminsky, qui n’est pas une attaque en elle-même mais qui a révélé un niveau de vulnérabilité insoupçonné du DNS, a servi de catalyseur pour promouvoir DNSSEC, protocole permettant d’authentifier les serveurs DNS et empêchant par ce moyen les attaques fondées sur des empoisonnements de cache (usurpation de "l’identité" d’un serveur DNS pour intoxiquer les autres au moyen de fausses informations). La propagation de DNSSEC se heurtait néanmoins à deux obstacles : d’une part, il n’y avait pas de "détenteur de la clef ultime" du système, celui qui fait autorité et certifie les premiers serveurs DNS etc. de proche en proche. D’autre part, il faut que tous les serveurs DNS fonctionnent avec DNSSEC si l’on veut que ce dispositif soit vraiment efficace.
Le deuxième obstacle sera sans doute long à surmonter, mais le premier a été résolu ce mois-ci (juin 09) avec la décision de la NTIA et du NIST américains (23) de confier la "signature" de la racine à Verisign, en y associant l’ICANN pour la bonne forme. Verisign, qui cumule la gestion du serveur racine A, celle des extensions COM et NET, ainsi que la racine ONS d’EPC Global, tend manifestement à faire mentir l’adage qu’il ne faut pas mettre tous ses oeufs dans le même panier. Une telle concentration de responsabilités techniques pour un réseau construit sur le principe de la déconcentration laisse en tout cas rêveur !
Sur le sujet de la sécurité toujours, signalons une alerte (24) émise par l’ENISA, agence européenne pour la sécurité numérique, qui déplore le manque de compétences et de respect des "meilleures pratiques" en matière d’utilisation de technologies clefs telles que DNSSEC, IPv6 ou MPLS (multi-protocol label switching). L’ENISA pointe notamment du doigt le fait que si les technologies en question peuvent réellement améliorer la "résilience" et la sécurité de l’internet, leur commercialisation pose problème ainsi que l’absence de coopération et le manque de management. L’Agence en tire trois recommandations qui peuvent intéresser tous les acteurs de la cyber sécurité : assurer une connectivité résiliente des organismes européens ; exploiter l’expertise et l’expérience de l’Europe, ainsi que les bonnes pratiques déjà définies ; et s’assurer qu’il y ait en Europe des experts entraînés sur ces questions.
Ces préoccupations recoupent celles d’un colloque (25) organisé en juin 09 par l’Assemblée nationale sur le thème "Souveraineté numérique : comment prévenir les menaces numériques ?" (on retrouve ici encore cette idée d’association intime entre gouvernance et sécurité). Les constats des experts présents sont rien moins qu’inquiétants pour la France : des moyens nettement inférieurs à ceux des autres pays, des systèmes de cryptologie "reposant sur des suppositions" [de fiabilité], un trafic de recherche des internautes français massivement draîné par Google (91%)...
Quelques solutions sont pourtant à portée de main, des plus ambitieuses, comme le fait de s’appuyer sur la technologie quantique pour renforcer notre souveraineté numérique, jusqu’aux plus évidentes en apparence, mais qui gagneraient à être réellement appliquées, comme les "3C" que sont la Communication, la Coordination et la Coopération entre les acteurs. Une petite révolution culturelle en perspective pour certains organismes considérant par tradition que l’information a plus de valeur lorsqu’elle est détenue que lorsqu’elle est partagée...
Ce texte est extrait de l'Edito - Juin 2009 - de l'excellente e-newsletter DNS-NEWS, publiée par L. Damilaville.
France
(23) Commerce Department to Work with ICANN and VeriSign to Enhance the Security and Stability of the Internet’s Domain Name and Addressing System
(24) EU security agency warns on European network resilience
(25) Souveraineté numérique : comment prévenir les menaces numériques futures ?