Les États-Unis sou­rient l’ex­plo­sion du tra­fic de l’Eu­rope pleure alors que

Le sys­tème DNS fête au­jourd’hui ses 30 ans. Son in­ven­teur ré­pond à nos ques­tions sur l’ave­nir de DNS et d’In­ter­net en gé­né­ral.

L'Informaticien - - SOCIÉTÉ - Pro­pos re­cueillis par Sté­phane Lar­cher

L’In­for­ma­ti­cien : Le DNS va-t-il res­ter opé­ra­tion­nel avec le pas­sage à l’IPv6 ? Paul Mo­cka­pe­tris :

IPv6 n’est pas un pro­blème. J’ai cou­tume de dire que le DNS est comme un ca­mion et qu’il est donc ca­pable de trans­por­ter n’im­porte quoi et donc ne se pré­oc­cupe pas du type de don­nées qui tran­sitent. C’est la même chose pour les codes de pays. Voi­ci quelques an­nées, des ex­perts des noms de do­maines sont ve­nus nous de­man­der si le DNS al­lait fonc­tion­ner avec deux cents codes de pays nou­veaux. Le DNS ne sait pas ce qu’est un Coun­try Code : il s’en moque. Aus­si, IPv6 n’est pas plus un

pro­blème qu’un pays nou­veau ou un type de don­nées. Mon in­ven­tion est une re­cette qui a bien fonc­tion­né avec In­ter­net comme d’autres re­cettes avec d’autres in­gré­dients. Les prin­cipes fon­da­men­taux ont re­mar­qua­ble­ment sur­vé­cu. Par­mi les ajouts ou mo­di­fi­ca­tions, cer­tains ont eu du suc­cès et d’autres non, mais glo­ba­le­ment le sys­tème pour­suit son dé­ve­lop­pe­ment se­lon les spé­ci­fi­ca­tions ori­gi­nelles. Des choses ont été ajou­tées comme la sé­cu­ri­té ou les si­gna­tures nu­mé­riques. Au dé­but, il y avait quelques pages de des­crip­tion, au­jourd’hui ce sont des mil­liers. Ce que nous pou­vons peut-être faire est d’ajou­ter des si­gnaux de ré­pu­ta­tion sur quelle part du Web est « safe » et la­quelle ne l’est pas. Et éga­le­ment faire plus d’ana­lyses de tra­fic. Un peu comme un doc­teur qui ef­fec­tue un contrôle de la ten­sion. Ce genre d’ana­lyses peut faire pro­gres­ser la sé­cu­ri­té de la na­vi­ga­tion pour les in­ter­nautes. C’est d’ailleurs ce que nous pro­po­sons au sein de la so­cié­té No­mi­num.

Le DNS a été vic­time d’une at­taque en am­pli­fi­ca­tion DNS. Est-ce une li­mite du mo­dèle ou un pro­blème d’ad­mi­nis­tra­tion ? P. M. :

D’abord, ce n’est pas nou­veau même si cette der­nière at­taque contre SpamHaus était plus im­por­tante. Le nombre de DNS ou­verts est ef­fec­ti­ve­ment un pro­blème d’ad­mi­nis­tra­tion de sys­tème. Ce pro­blème se­rait beau­coup moins im­por­tant si les ad­mi­nis­tra­teurs confi­gu­raient mieux en ne lais­sant pas les DNS ou­verts ce qui per­met les at­taques par am­pli­fi­ca­tion ou au contraire par Syn­flood. Au­de­là de cette meilleure confi­gu­ra­tion, la seule vé­ri­table pa­rade est d’iden­ti­fier les sources de tra­fic. En sé­cu­ri­té, le pro­blème est tou­jours le même : quel est le coût pour at­ta­quer, le coût pour se dé­fendre, la va­leur des

don­nées à pro­té­ger. Même si ces ra­tios vont dans la bonne di­rec­tion ce n’est pas ré­glé. Ce n’est pas un pro­blème de DNS mais un pro­blème de Syn­flood. C’était pa­reil avec le spam jus­qu’à ce que cer­tains ar­rivent avec des idées ori­gi­nales pour blo­quer le spam. Le rôle de DNS est un moyen de dis­tri­buer les don­nées. L’une des évo­lu­tions est l’ana­lyse du tra­fic au tra­vers d’al­go­rithmes pour amé­lio­rer la sé­cu­ri­té. Mais ce­la coûte très cher en puis­sance de cal­cul et c’est presque im­pos­sible. Sans comp­ter les ques­tions de pro­tec­tion de la vie pri­vée. J’ai­me­rais pou­voir avoir mon propre sys­tème DNS sur ma propre ma­chine et dé­ci­der moi-même de ce qui est de l’ordre de la Black List ou de la White List et non pas celle d’In­ter­pol ou de qui­conque. Mais ce n’est pas for­cé­ment une bonne so­lu­tion pour tout le monde.

Comment ana­ly­sez-vous les ten­ta­tives de ré­gu­la­tion ou de contrôle ? P. M. :

L’un des pro­blèmes est que l’in­dus­trie du ci­né­ma, de la musique ou du lo­gi­ciel ont tous une vue sur le DRM, qui est an­cienne. Et de l’autre cô­té vous avez une nou­velle gé­né­ra­tion qui ne com­prend pas ce­la. Les en­fants ap­prennent les uns des autres. Dans le monde en­tier, il y a très peu de dif­fé­rences sur ces plans éthiques. Par exemple, l’his­toire des DVD zo­nés est une in­con­grui­té du monde an­cien. Les jeunes ne com­prennent pas ce­la. Il y a beau­coup de sché­mas de fi­nan­ce­ment dans les pays du nord no­tam­ment Spo­ti­fy et d’autres qui tentent de bri­ser ce mo­dèle. C’est un pro­blème de so­cié­té et il est dif­fi­cile de trou­ver la bonne ré­ponse. Concer­nant la pro­tec­tion des droits d’au­teur, la loi fran­çaise pré­voit trois aver­tis­se­ments [NDLR : Ha­do­pi]. Il y en a six aux États-Unis. C’est tout à fait in­ef­fi­cace. Nous n’avons pas d’autre so­lu­tion que de re­gar­der la jeune gé­né­ra­tion bous­cu­ler les fron­tières.

Que pen­sez-vous des pro­blèmes de dif­fu­sion du conte­nu de type YouTube et autres que l’on ren­contre en Eu­rope ? P. M. :

C’est un pro­blème d’in­ves­tis­se­ments sur les in­fra­struc­tures en Eu­rope. En ef­fet, aux États-Unis, vous avez glo­ba­le­ment trois opé­ra­teurs mo­biles pour tout le ter­ri­toire amé­ri­cain. En Eu­rope, le nombre est de 300 ! Donc, vous avez une dif­fé­rence d’échelle qui crée un vrai pro­blème. Bref, pour le conte­nu OTT (Over The Top), les États-Unis sou­rient de l’ex­plo­sion du tra­fic alors que l’Eu­rope pleure.

Les ser­vices dif­fé­ren­ciés « Diff­serv » pour­raient être une so­lu­tion ? P. M. :

C’est un pro­blème pour la neu­tra­li­té du Net. Dans le monde des avions, on paie dif­fé­rents prix pour dif­fé­rents ser­vices. C’est une ques­tion d’al­lo­ca­tion des res­sources. Nous avons la même pos­si­bi­li­té dans les ré­seaux et c’est fait dans cer­tains cas. Par exemple dans les ré­seaux pri­vés. Ce­pen­dant, après, c’est une en­tente entre les dif­fé­rents opé­ra­teurs pour mettre en place cette prio­ri­ti­sa­tion. Ce­la n’a pas été fait dans le pas­sé car c’était pro­ba­ble­ment plus simple d’ajou­ter de la bande pas­sante plu­tôt que de se mettre d’ac­cord pour cette ré­gu­la­tion à plu- sieurs à tra­vers les Diff­serv. Jus­qu’à pré­sent, c’était moins cher de ra­jou­ter de la bande pas­sante mais nous sommes peut-être aux li­mites.

Que si­gni­fie pour vous l’In­ter­net des ob­jets ? P. M. :

Tous les ob­jets du monde qui contiennen­t un pro­ces­seur – c’est-à-dire bien­tôt pra­ti­que­ment tous les ob­jets – vont être ca­pables de com­mu­ni­quer. C’est comme ce­la qu’il faut abor­der la ques­tion. Pre­nez une voi­ture. Elle contient des di­zaines de pro­ces­seurs mais pas en­core de ca­pa­ci­tés in­ter­net. Lors­qu’elle l’au­ra, ce­la veut dire qu’un hacker est ca­pable de prendre le contrôle. C’est une vraie in­quié­tude. Chaque ob­jet élec­tro­nique pour­ra com­mu­ni­quer. Ce se­ra in­té­gré. La RFID est l’autre fa­çon de com­mu­ni­quer et il existe dif­fé­rentes ap­pli­ca­tions. Ce­la va des éti­quettes pour les car­gos jus­qu’à des pa­quets de Klee­nex ou des blocs de soupe. L’im­por­tance n’est pas la même : sa­voir qu’un ca­mion contient de l’am­mo­niaque ou de l’eau peut être in­té­res­sant en cas d’in­cen­die du ca­mion. Mais il faut s’as­su­rer du bon fonc­tion­ne­ment. L’autre pro­blème est que l’on ne sait plus ce que font les ap­pli­ca­tions avec vos don­nées. Que se pas­se­ra-t-il lorsque ce genre de pos­si­bi­li­tés se­ra in­té­gré dans les ap­pa­reils pho­to ou tout autre ap­pa­reil. Il y a une no­tion de fia­bi­li­té et de confiance. J’en­tends par là sa­voir exac­te­ment qui peut at­tra­per l’in­for­ma­tion sur quelle dis­tance et dans quelles condi­tions. La pro­pa­ga­tion ra­dio est très dif­fé­rente se­lon les si­tua­tions et ce­la peut en­gen­drer des com­pli­ca­tions graves.

Que pen­sez-vous des risques de cy­ber guerre de la cy­ber­cri­mi­na­li­té. Ne consti­tuent-elles pas une me­nace pour les ré­seaux ? P. M. :

Com­men­çons par les cy­ber­cri­mi­nels. Leur in­té­rêt c’est l’ar­gent. Aus­si, la der­nière chose qu’ils sou­haitent est de voir tom­ber In­ter­net car ce­la se­rait très pré­ju­di­ciable à leur bu­si­ness. Ils dé­pendent de la bonne san­té des ré­seaux. Ce­la amène un autre point sur la res­pon­sa­bi­li­té des hé­ber­geurs. Lors­qu’un hé­ber­geur voit que l’un de ses clients est in­fec­té par un mal­ware doit-il le pré­ve­nir ? Cer­tains pré­tendent que non. Mais c’est plus com­pli­qué. L’opé­ra­teur a la res­pon­sa­bi­li­té que son ré­seau fonc­tionne. Donc, dans ce cas, il prend des me­sures pour em­pê­cher les mal­wares. Ne pour­rait-il pas étendre ce­la à ses uti­li­sa­teurs ?

Vous sou­hai­tez donc étendre la res­pon­sa­bi­li­té de ré­gu­la­tion aux four­nis­seurs d’ac­cès… P. M. :

Je ne vous dis pas que c’est la ré­ponse mais je dis que c’est une ques­tion qu’il faut se po­ser. Si j’ai un mil­liard de re­quêtes par se­conde pro­ve­nant du même uti­li­sa­teur je de­vrais être ca­pable de no­ti­fier ce­la. Ne pas se po­ser la ques­tion est fou ? Les ISP ne doivent pas pou­voir vé­hi­cu­ler n’im­porte quoi. Je suis cer­tain que les ISP peuvent of­frir plus de sé­cu­ri­té aux uti­li­sa­teurs qui ne savent pas se dé­fendre eux-mêmes. L’in­fra­struc­ture ré­seaux peut four­nir un cer­tain ni­veau de pro­tec­tion. Et je pense qu’elle de­vrait. C’est mon point de vue. En­suite, il y a la cy­ber guerre. C’est un phé­no­mène bien réel. Nous n’avons pas en­core vu de dom­mages phy­siques liés à ces at­taques mais ce­la ar­ri­ve­ra. J’ai­me­rais avoir de meilleures nou­velles mais il va se pas­ser des choses graves, par­ti­cu­liè­re­ment parce que la sé­cu­ri­té des in­fra­struc­tures vi­tales n’est pas suf­fi­sam­ment prise ne compte. No­tam­ment parce qu’elle re­pose sur des tech­no­lo­gies com­mer­ciales qui sont les plus su­jettes aux at­taques que des tech­no­lo­gies dé­diées. Je sais qu’ils le font pour des rai­sons bud­gé­taires mais le risque est grand.

Où en est votre en­tre­prise No­mi­num ? P. M. :

Cette an­née, je me suis un peu éloi­gné car j’ai pris une an­née sab­ba­tique à Pa­ris donc je tra­vaille à mi­temps jus­qu’à la fin de l’an­née sco­laire. Je vou­lais don­ner une ex­pé­rience in­ter­na­tio­nale à mes en­fants. No­mi­num four­nit des lo­gi­ciels et des ser­vices au­tour de DNS. À l’ori­gine l’ob­jec­tif était de four­nir une in­fra­struc­ture fiable car beau­coup de ces in­fra­struc­tures sont ba­sées sur des lo­gi­ciels libres qui sont bons mais qui souffrent d’im­por­tantes failles. Au dé­part, c’était des­ti­né aux ISP mais les en­tre­prises ont sou­hai­té éga­le­ment ins­tal­ler nos pro­duits. Nos clients peuvent uti­li­ser nos ser­vices pour fil­trer cer­tains ser­vices ou ef­fec­tuer des ana­lyses sur le tra­fic. Les « car­riers » peuvent éga­le­ment uti­li­ser ces ou­tils pour des ana­lyses dé­mo­gra­phiques ou en­core pour di­mi­nuer le Churn. Avec une meilleure ana­lyse des flux, ils peuvent ré­pondre aux clients sur ce qui se passe sur leur ré­seau.

PAUL MO­CKA­PE­TRIS In­ven­teur du sys­tème DNS

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.