Document Préparatoire

Devoir/capacité de précaution vis à vis du root internet ?

Réunion : Renater : 3 Décembre 14:30
151 Boulevard de l'Hôpital, 75013
Elle fait suite aux études (http://utel.net/u-docs.htm) réalisées sur le projet dot-root (http://dot-root.com).
Merci d'envoyer un mail de confirmation de participation ou d'intérêt au compte-rendu à : info@utel.net.


Cadre général

Après le 9/11 la sécurité du réseau a été sérieusement considérée. Au sein du DNSO/BC un groupe de travail s'est formé qui a mené au projet dot-root. La Maison Blanche a demandé une étude qui a conduit les Etats-Unis à un chantier prioritaire pour faire face à la menace - jugée de niveau nucléaire - que représente, pour leurs grandes infrastructures et leur mode de vie, l'état du réseau internet. Le cadre de ce plan est défini par http://whitehouse.gov/pcipb. Il concerne quatre aspects : les standards du réseau (IPSec, les protocoles gateway, IPv6), la gestion de son infrastructure (DNS, protection contre les DoS, Défense cybernétique), la sécurité des systèmes reliés et en particulier des SCADA (contrôles automatiques, comme pour le black-out de New-York), l'aspect économique et sociétal  par une multitude de devoirs de précaution, débutants par l'éducation des constructeurs, des respo nsables téléinformatiques et de toutes les classes d'utilisateurs. Le danger étant mondial, sans coopération multilatéral absente, il ne peut être joué que pour s'assurer un contrôle sécuritaire du réseau mondial.


Situation française

Dans tous les pays, les risques sont similaires, bien que spécifiquement pondérés, à une différence majeure prés : nous n'avons pas le contrôle du système clé qu'est le système racine, et donc pas de capacité de décision immédiate et autonome, à ce niveau, pour la protection de notre société et de notre économie. Ceci introduit, pour nous, une incertitude, et donc des risques supplémentaires, que nous pouvons seuls évaluer, et que nous devrons, le cas échéant, traiter seuls, car ils ne sont pas … une priorité américaine.

A ces risques sont associés plusieurs autres risques forts, dus à l'importance de la présence américaine sur l'internet et aux contrecoups sur nous de sa politique, de sa gestion (gouvernance) du réseau et de ses développements techniques (IETF et "govnet"). Des risques existent aussi vis à vis des autres Etats, surtout européens (ils peuvent plus affecter notre utilisation, ou nous imposer un politique ne répondant pas aux priorités de nos utilisateurs).  Le risque culturel et sociétal est important (noms de domaine traités comme des marques, défavorisant l'exception culturelle française - support complexe et incertain des langues vernaculaires). Le risque d'érosion total du capital de notre acquis télématique national est fort.

La situation opérationnelle actuelle de l'ICANN par rapport aux grands acteurs (NSI, ccTLD) est instable et en train d'évoluer assez vite. Les orientations prises par le projet IPv6, sur le point des plans de numérotation, conduira à un contrôle centralisé fort du réseau (qui échappera aux pays, habitués aux plans téléphoniques) que l'ICANN et l'IETF songent à accentuer (un "DNS" IP pour suivre les mobiles).


Nature stratégique des risques évoqués

L'on voit que les types de risque évoqués ne sont pas en eux-mêmes "techniques", car ils ne dérivent pas directement des standard, d'applications, de choix constructeurs, de logiciels, de failles de développement ou d'organisation. Mais d'une faille dans l'organisation de la gouvernance elle-même. Elle repose largement sur la fable de l'internet qui donne à penser que ses solutions de gestion lui sont inhérentes et nécessaires.

Ces risques sont stratégiques. Leur gestion est du domaine de la gouvernance française et internationale de l'internet. Nous ne sommes au niveau le plus élevé de la protection globale de la nation, de son économie, de sa culture, des vies et de ses biens dépendant de la téléinformatique. Il s'agit de son existence même, dans le contexte d'un monde "virtuel" bien réel.

Dans ce contexte les risques sur les sites vitaux et sensibles sont considéré comme les détonateurs d'un risque (brainware) plus grand, qui est la déstabilisation de l'usage et la désillusion des utilisateurs ("second choc internet") dont les répercussions sociétales, économiques et politiques seraient sans doute profondes, et à long terme, alors que le Monde est entrain de l'utiliser comme infrastructure de sa société de l'information (SMSI).

La stratégie de sécurité envisagée par les USA, dans un système global, pour répondre à une menace qu'ils jugent équivalente à la menace nucléaire, les entraîne à une stratégie comparable de bouclier de protection cybernétique unilatérale. Même motivée par l'urgence, le choix d'une approche "à la govnet" et non d'une approche industrielle que le monde aurait pu suivre, sera sans doute moins efficace et plus politique. La protection de leur glacis virtuel et de leurs intérêts à l'étranger ne peut passer que par une tentative de contrôle d'autant plus forte que jugée vitale. On la surnomme déjà "e-colonisation" : leur industrie logicielle y sera un élément clé.


But de la réunion

Le but est, à l'image de l'effort initial américain, mais dans la perspective de la France et de l'Europe, de permette à chacun de valider la réalité des risques évoqués, du degré de leur menace, de leur imminence, des moyens de suivi, de mesure et d'analyse, tout en évoquant des précautions immédiates crédibles et des pistes de réponses à moyen terme, etc. Ceci se fera à partir d'une revue de situation, d'échanges et de quelques scénarios catastrophe possibles, et de la considération de leur impact socio-économique,

-       sans être alarmiste mais devant la possibilité possible d'une catastrophe supérieure au sang contaminé, la vache folle, la canicule, etc.
-       sans débat, ni sur le degré des risques ni sur ses solutions. il s'agit simplement de lancer un état des lieux : risques, opinons, réponses proposées, personnes, moyens et urgences.
-       chaque participant cherchant à évaluer de son propre devoir de précaution, sur son degré d'urgence, et les coopérations qu'il peut trouver.


Personnes intéressées

A l'instigation de la société professionnelle, cette réunion concerne des responsables de la communauté Internet française (selon la définition de la RFC 1591), soucieux de sa défense globale sur un réseau global,  capables de conduire ou participer aux actions nécessaires : opérateurs, grandes entreprises, responsables économiques et commerciaux, de l'administration, de la politique, de la défense, consultants, représentants des utilisateurs. Aucun autre pré-requis technique qu'une bonne connaissance . Nous sommes au niveau politique et sociétal. La compétence technique qui pourrait être nécessaire sera assurée par Renater.

Il est certains que les spécialistes de sécurité informatique sont les premiers concernés : comme apôtres. Leur rôle est de traiter les risques sur les infrastructures vitales et sensibles. Ils sont ici pris en compte comme des facteurs déclenchants, de panique, de cascades, de désastres de tous ordres. Le propos ici est de les éviter ou les réduire en les traitant en amont. Le PC Sécurité du Titanic a fait ce qu'il pouvait, mais c'était à la passerelle d'éviter la route des icebergs.


Agenda

Les annexes donnent l'étendue des sujets devant être évoqués. Le but est d'amorcer une réflexion et de mailler des contacts, pour permettre un approfondissement ultérieur entre ceux qui estiment qu'il existe un devoir de précaution et qu'il les concerne.

1.      accueil, rappel des buts de la réunion, introduction mutuelle des participants et de leurs organisations.

2.      les risques intrinsèques à l'infrastructure racine DNS (origine, rôle, gestion, utilisation, points forts/faibles, dot-root). Tour de table de questions et de commentaires sur cette partie.

3.      les risques nés de l'approche américaine : origine, ICANN, Code des Télécoms, DoC/NTIA, NSI, Microsoft, expérience KP&Quest, prise en main actuelle : ccTLD, IPv6, IETF. Tour de table, expérience française

4.      scénarios catastrophe. La demande de la Maison Blanche et sa réponse. Recherche de scénario typique pour mesurer les problèmes et tester les réponses. Discussion rapide de leur impact pour envisager comment les classer, définir des types de risques, travailler à définir un cahier des doléances.

5.      récapitulation de solutions proposées - une compilation de suggestions et donnée en annexe. La comprendre pour en tirer parti. Trouver le moyen de la compléter, de la discuter techniquement lorsque c'est nécessaire. Est-il possible/intéressant de structurer un plan d'ensemble ?

6.      tour de table final

-       un risque Internet existe-t-il ? des études sont-elles souhaitables ?

-       un devoir de précaution existe-t-il ? avec quel degré d'urgence ?

-       pistes d'actions pouvant être engagées par chacun ou en commun sur les propositions évoquées ?

Compte rendu

Un compte-rendu sera adressé à chacun des participants. Une réunion mi-janvier sera envisagée pour ceux qui désirent donner une suite structurée à l'une ou à un groupe des réponses envisagées.

La période (préparation finale du premier SMSI) fait qu'un certain nombre de personnes qui auraient voulu participer ne pourront pas être présentes. Il leur sera adressé un compte-rendu et elles seront directement associées aux suites éventuellement donnes, et mises sur la liste de diffusion s'il s'en crée une.

Annexe 1 : "le jour où l'internet tituba"

Les scénarios présentés ici serviront lors de la réunion ou lors de commentaires. Il s'agit simplement de disposer d'études de cas pour aider à décider de l'existence et à l'importance d'un devoir de précaution du à la maîtrise du root par une puissance tierce dont les intérêts et les procédures peuvent ne pas être ceux de notre société, de notre économie, de notre politique.

1.      une agression terroriste, hacker ou la montée en puissance du spam,

-       mouvement d'opinion aux Etats-Unis

-       implication sérieuse du Congrès en période préélectorale.

-       lois vites votées. Un amendement sur le log du root viole les intérêts et la loi française.

2.      scénario type du document de la Maison Blanche :

-       une addition d'incidents ou de pénétrations créée une situation de crise dans une grande ville US

-       quelques centaines de morts en raison d'un accident infrastructure (aviation, incendie, panique)

-       situation précédente avec crainte croissante mondiale face à l'insécurité du réseau et des retombées sur le routage

3.      remake du Scada du Lac Erié comme en août

-       au plus fort de l'hiver de la côte Est : remake gigantesque de 1996 au Canada. 

-       50 millions de gens dans le blizzard cherchent plus des couvertures et du bois qu'à tenir à jour le fichier du root et les tables de routage qui évolueront sans doute très vite

-       pression immédiate de tous les gouvernements, corrections usuellement demandant des semaines

-       importante perte de confiance mondiale

4.      Intrusion sur une des deux sources du fichier racine.
    (serveur Alpha ou ftp://rs.internic.net)

5.      tensions croissantes au sein des SMSI

-       certains pays (qui jouent déjà beaucoup avec le DNS) utilisent leurs propres fichiers racine 

-       répercussions techniques (instabilité) et politiques (demande de prise de position par les USA).

-       hackage (ou psychose) d'un des systèmes centraux (alpha ou rs.internic.net) par les opposants.

-       débat d'opinion avec ressentiments, actions autonomes et pirates : un journal lance son root.

6.      déstabilisation politique nationale

-       DoS aléatoire sur un TLD national (saturation par worms par exemple des serveurs AFNIC)

7.      redélégation de la gestion d'un ccTLD

-       dans des conditions politiques, économique ou de justice que la France/Europe n'accepte pas.

8.      retard important à l'innovation
-       la gestion actuelle du root s'avère participer d'un retard important à l'innovation
-       d'une stratégie industrielle défavorisant les intérêts franco-européens.

9.      Faillite d'un opérateur majeur
-       exemple de KP&Quest
-       exemple de la configuration buggée de 2002 (WorldCom)
Annexe 2 : liste de suggestions

Cette liste n'a aucun caractère formel. C'est une compilation d'idées glanées ou proposées. Elle ne détaille pas de projets précis (il peut y en avoir plusieurs de parallèles). Certains projets sont partiellement engagés.

DNS urgence
-       miroir français du root NTIA pouvant reprendre la main si nécessaire
-       collecte des données d'un fichier racine français en comparaison mutuelle avec le NTIA
-       fichier host.txt national pour une gestion de survie sans DNS
-       étude par chaque entreprise et administration d'un plan de continuation de leurs opérations hors DNS
-       système d'alerte et information presse : faire d'une catastrophe annoncée une démonstration de bon fonctionnement donnant confiance.

DNS
-       recensement des questions pour l'IAB quant aux outils, pratiques actuelles et propositions
-       système de test du DNS selon les critères du document ICP-3 de l'ICANN
-       développement de solutions DNS répondant aux besoins du marché : service d'aide à la recherche / Menu serveur, racines locales et serveurs racine de proximité, matrice racine mondiale respectant la réalité du réseau, support de systèmes de messageries sans spam, noms de domaine et adresses e-mail multilingues et vernaculaires,
-       protection des archives des serveurs racine des investigations étrangères.
-       mise à disposition de la justice des archives des serveurs racine
-       droit à la protection de la vie privée et aux e-alias - signature anonyme.

Gouvernance des Réseaux
-       mise en place d'une ITU-I (Information) pour accueillir la concertation des couches hautes
-       universalisation du nommage inter technologie (Uniname)
-       exception culturelle dans le nommage
-       universalisation de l'adressage IPv6 dans le respect de la protection des états et la séparation des données routage et accès et de l'adressage et de l'identification - éviter un bug-IPv6 par le test simultané de deux plans sur les 6 possibles.

Société de l'information et des services
-       annuaire des entreprises, associations, bureaux concernés à l'occasion du SMS
-       structuration des intérêts civils (collectivités, associations), webs de proximité, organisation de l'e-territoire intégrant les aspects sécurité, téléurbanisme, domotique.
-       structuration des intérêts commerciaux (e-commerce, chambres de commerce, etc.)
-       structuration des intérêts des fournisseurs d'information et de services (WISP)
-       structuration des intérêts des consommateurs 

Methodes d'Utilisation des réseaux
-       modélisation du système réseau global à travers l'usage (brainware) pour une approche unifiée
-       encouragement par la standardisation d'une architecture d'utilisation du réseau (système utilisateur d'exploitation du réseau) conçu des le départ pour une sécurisation des échanges et des opérations.
-       portails sécurisés et de services (ex. bureau virtuel)
-       procédures nationales de vérification de l'appelant par canaux multi-technologie (exemple Internet/téléphone fixe) 

Intelligence/Défense électronique
-       groupe de travail sur la proposition américaine et suivi de leur état de développement
-       e but d'une concertation n'est pas applicatif mais de principe : les USA s'engagent dans une révision des protocoles inter-gateway - proposition d'une standardisation d'inter-protection des ces protocoles par l'UIT-I
-       Agence/Secrétariat national de la défense cybernétique