Internet, un géant aux pieds d’argile ?

Cloud

Entre les attaques de pirates, les failles des logiciels réseau et les risques de ruptures physiques des câbles, Internet révèle sa fragilité au grand jour. Mais l’architecture du réseau en facilite le rétablissement rapide en cas d’accident physique. Et les failles des logiciels sont régulièrement corrigées avant qu’un pirate ne mette la main dessus. Quant à résister à une guerre nucléaire, c’est une légende qui a la vie dure…

La semaine dernière, Microsoft a connu des heures sombres (voir édition du 26 janvier 2001). Maladresse d’un technicien (qui aurait fait une erreur de configuration d’un routeur affecté au serveur DNS) et attaques incapacitantes en masse sur ces mêmes routeurs ont interrompu pendant plusieurs heures l’accès aux sites Microsoft.com et MSN.com. En parallèle, ou presque, on apprend qu’une faille dans le code de BIND (Berkeley Internet Name Domain), logiciel développé dans les années 80 par Software Consortium sous Unix et qui gère de nombreux serveurs DNS (Domain Name Services), menace le réseau dans son ensemble. Cette faille permettrait en effet à des pirates d’interdire l’accès aux sites, voire de détourner à leur insu les internautes vers des sites “fictifs” afin de recueillir des informations confidentielles. Enfin, les récents tremblements de terre au Salvador et en Inde nous rappellent qu’Internet est un réseau d’ordinateurs physiquement reliés entre eux par des câbles qui, en cas de rupture, ne véhiculent plus l’information, coupant l’accès à des pans entiers du réseau.

Un réseau physique qui reste fragile

Trois informations qui nous rappellent qu’Internet, bien que conçu pour résister à une attaque nucléaire, reste un réseau fragile. “Le coup de l’attaque nucléaire, c’est du pipeau”, objecte Yves Devillers, directeur de projet à l’INRIA et chargé d’études sur les réseaux à très haut débit. “Vinton Cerf a laissé planer la légende pour flatter l’ego de son bailleur de fonds, l’Arpa, [l’agence de recherche pour la défense américaine, Ndlr]. Face à des ruptures de tuyaux, il n’y a pas grand-chose à faire. “Je me souviens que nous avions été coupés de nos collègues de San Francisco pendant quelques jours lors du dernier tremblement de terre”, raconte le chef de projet. Récemment encore, c’est un coup de pelleteuse qui aurait arraché un câble transatlantique, ralentissant considérablement le trafic. Heureusement, quand une ligne tombe, le trafic emprunte une ligne de secours. Qui “risque elle-même de s’écrouler car sous-dimensionnée par rapport aux besoins”. En revanche, le principe du routage dynamique et son auto-configuration présentent l’avantage de rétablir rapidement le réseau. Par ailleurs, les accords passés entre opérateurs des différents continents permettent d’entretenir des serveurs redondants capables de délivrer l’information même si les lignes du serveur original sont rompues.

Des failles corrigées loin des pirates… et de la presse

Bref, s’il n’y a pas grand-chose d’autre à faire que de poser toujours plus de câbles pour pallier la chute de certaines voies de communication, il y a en revanche beaucoup à faire pour éliminer les failles des logiciels qui gèrent le réseau. “Des failles logicielles, il y en a et il y en aura toujours”, prévient Yves Devillers, “et Internet ne résout pas les problèmes avant qu’ils apparaissent”. Mais généralement, “les trous de sécurité sont trouvés par les administrateurs avant les pirates” et aussitôt corrigés avant d’être diffusés rapidement, confidentiellement (loin des pirates et de la presse, notamment) et à grande échelle. “C’est ça, la force d’Internet”, s’exclame-t-il.

L’autre garantie, c’est l’utilisation de logiciels libres dont l’accès aux sources est justement indispensable pour repérer et corriger les bogues immédiatement. Ça ne s’est pas passé autrement pour BIND, aujourd’hui sécurisé. Au delà de BIND, une solution existe pour garantir l’origine du serveur et de ses informations. Cette solution s’appelle DNS-SEC et fonctionne par un système de signatures cryptées qui permet d’authentifier le serveur et ses informations. “Le déploiement est en cours”, affirme le chercheur de l’Inria, “mais cela impose de changer les habitudes d’administration, notamment dans le renouvellement régulier de la clé de cryptage”. Une adaptation plus organisationnelle que technique, donc. Le système DNS-SEC devrait être en place d’ici un an. Au bout du compte, Yves Devillers se veut rassurant sur la capacité de résistance du réseau. “Croyez-moi, un certain nombre d’autorités sont extrêmement soucieuses de l’intégrité du réseau.” Pour rassurer les cyber-marchands ?


Lire la biographie de l´auteur  Masquer la biographie de l´auteur