A lire sur: http://www.lemagit.fr/article/internet-resilience/11438/1/resilience-internet-francais-pas-mal-mais-peu-mieux-faire/?utm_source=essentielIT&utm_medium=email&utm_content=new&utm_campaign=20120709&xtor=ES-6
Le 07 juillet 2012 (18:30) - par Valery Marchive
L’Anssi et l’Afnic viennent de se pencher sur la capacité de l’Internet
hexagonal à résister à des incidents puis à retrouver son
fonctionnement nominal. Un audit partiel, qui s’est concentré sur le
protocole de routage BGP et sur les serveurs DNS, qui présente des
résultats plutôt satisfaisants mais pointe surtout des voies
d’amélioration.
Que se passerait-il en cas d’incident majeur sur les infrastructures
qui portent Internet en France ? Seraient-elles capables de ramener
rapidement le réseau à son état de fonctionnement nominal ? C’est à ces
questions que l’Agence Nationale pour la Sécurité des Systèmes
d’Information (Anssi), et l’Afnic, responsable de la gestion du .fr, ont
essayé d’apporter un début de réponse. Pour cela, les deux agences se
sont concentrées sur le protocole de routage BGP et sur les serveurs
DNS. Comme elles l’expliquent dans un rapport commun,
les deux agences ont cherché, pour BGP, à examiner la fiabilité des
informations de routage, la connectivité entre opérations, et la
fréquence de l’usurpation dans les informations de routage. Pour les
serveurs DNS, elles se sont attachées à étudier «la dispersion des
serveurs de noms [...], le nombre de serveurs DNS qui n’ont pas été
corrigés pour un faille majeure (dite ‘faille Kaminsky’), et l’état du
déploiement de certains protocoles comme IPv6 et DNSSEC.»
Si l’Anssi et l’Afnic affichent une relative satisfaction devant les résultats, elles ne manquent pas de pointer certains problèmes. Concernant BGP, elles relèvent ainsi que «la conformité des déclaration de routes et la réalité des annonces BGP varient selon l’opérateur mais aussi selon la période de l’année; cinq opérateurs de transit assurent une grande partie de la connectivité des quatre opérateurs français étudiés; les usurpations de routes sont très fréquentes mais la très grande majorité sont le résultat d’erreurs humaines, notamment dans les relations client/fournisseur, et non de détournements délibérés.» Bref, pas de volonté de nuire, mais des éléments qui peuvent soulever des questions sérieuses. En particulier, le rapport souligne que «suite à des rachats [d’acteurs du marche, NDLR] les objets route initiaux n’ont pas été mis à jour» ou encore que certaines usurpations sont tout simplement liées à des annonces légitimes en délégation mais pour lesquelles les déclarations d’objets route n’ont pas eu lieu.
Pour les DNS, la situation est comparable : «pour la majorité des zones sous .fr, le nombre de serveurs de noms est suffisant.» Dès lors, l’infrastructure est plus vulnérable. Surtout, «quatre ans après la publication [de la faille ‘Kaminsky’] et de sa correction, des serveurs de noms [10 %] utilisent toujours des implantations logicielles vulnérables.» Si les auteurs du rapport ne le présentent pas ainsi, on peut être tenté de penser que l’on flirte là avec l’inacceptable. Quant à adopter les nouveautés, on sent une certaine réserve - à tout le moins : «les déploiements de certaines extensions techniques, nécessaires à la pérennité d’Internet, comme IPv6 et DNSSEC, restent très faibles.» Et de relever 40 % des zones DNS supportant IPv6 mais seulement 1 % des serveurs Web. Quant à DNSSEC : «pratiquement pas de zones signées.»
In fine, l’Anssi et l’Afnic estiment «que la situation de l’Internet français est aujourd’hui acceptable, mais que rien ne garantit que cela suffise à l’avenir.» Et d’appeler «tous les acteurs» à s’investir «pour une amélioration permanente de la résilience.» Un investissement de tous d’autant plus important qu’Internet revêt désormais un caractère «critique» pour notre société et que sa nature massivement distribuée est source «d’interdépendance» des acteurs, une situation qui «augmente le risque, au moins théorique, de crise systémique.»
Pour 2012, l’Anssi et l’Afnic entendent étendre le périmètre étudié avec, notamment les attaques DNS «perçues par les serveurs caches».
Si l’Anssi et l’Afnic affichent une relative satisfaction devant les résultats, elles ne manquent pas de pointer certains problèmes. Concernant BGP, elles relèvent ainsi que «la conformité des déclaration de routes et la réalité des annonces BGP varient selon l’opérateur mais aussi selon la période de l’année; cinq opérateurs de transit assurent une grande partie de la connectivité des quatre opérateurs français étudiés; les usurpations de routes sont très fréquentes mais la très grande majorité sont le résultat d’erreurs humaines, notamment dans les relations client/fournisseur, et non de détournements délibérés.» Bref, pas de volonté de nuire, mais des éléments qui peuvent soulever des questions sérieuses. En particulier, le rapport souligne que «suite à des rachats [d’acteurs du marche, NDLR] les objets route initiaux n’ont pas été mis à jour» ou encore que certaines usurpations sont tout simplement liées à des annonces légitimes en délégation mais pour lesquelles les déclarations d’objets route n’ont pas eu lieu.
Pour les DNS, la situation est comparable : «pour la majorité des zones sous .fr, le nombre de serveurs de noms est suffisant.» Dès lors, l’infrastructure est plus vulnérable. Surtout, «quatre ans après la publication [de la faille ‘Kaminsky’] et de sa correction, des serveurs de noms [10 %] utilisent toujours des implantations logicielles vulnérables.» Si les auteurs du rapport ne le présentent pas ainsi, on peut être tenté de penser que l’on flirte là avec l’inacceptable. Quant à adopter les nouveautés, on sent une certaine réserve - à tout le moins : «les déploiements de certaines extensions techniques, nécessaires à la pérennité d’Internet, comme IPv6 et DNSSEC, restent très faibles.» Et de relever 40 % des zones DNS supportant IPv6 mais seulement 1 % des serveurs Web. Quant à DNSSEC : «pratiquement pas de zones signées.»
In fine, l’Anssi et l’Afnic estiment «que la situation de l’Internet français est aujourd’hui acceptable, mais que rien ne garantit que cela suffise à l’avenir.» Et d’appeler «tous les acteurs» à s’investir «pour une amélioration permanente de la résilience.» Un investissement de tous d’autant plus important qu’Internet revêt désormais un caractère «critique» pour notre société et que sa nature massivement distribuée est source «d’interdépendance» des acteurs, une situation qui «augmente le risque, au moins théorique, de crise systémique.»
Pour 2012, l’Anssi et l’Afnic entendent étendre le périmètre étudié avec, notamment les attaques DNS «perçues par les serveurs caches».
Aucun commentaire:
Enregistrer un commentaire