GuiGui's Show - LiensQuelques notes prises durant le talk :
Internet vu par le gouvernement FR :
* Lemaire pense qu'il faut signer une charte au ministère pour déployer TLS ;
* Cazeneuve croit qu'il y a des dirigeants d'Internet et qu'il leur a parlé dans le cadre de la lutte antiterroriste.
Ça révèle que, pour eux, un truc comme Internet ne peut pas être géré comme un bien commun, ça doit forcément être une grosse hiérarchie bureaucratique.
Pourtant, il n'y a pas de Président de l'Internet qui pourrait donner des ordres à tous les acteurs. S'il y en avait, on n'aurait plus SSLv3 qui est troué et le support de l'Unicode serait déployé partout.
Un bien commun, ce n'est pas un groupe de quelques personnes. Les gens partagent beaucoup de choses sans que cela soit des biens communs. Un bien commun, c'est une infrastructure commune, qui ne peut fonctionner seule, pour laquelle des gens, qui sont différents, ne sont pas d'accord sur ce que doit être l'infrastructure, sur les moyens à mettre en oeuvre voire sont même des concurrents mais pour laquelle tout le monde a intérêt à ce qu'elle fonctionne. Voir le livre « Effondrement » de Jared Diamond.
Exemple technique : il y a des techniques pour empêcher l'usurpation d'adresses IP. Le premier opérateur réseau qui déploie ces techniques devra supporter un coût (humain, en équipement matériel, en licence logicielle,...) mais c'est les concurrents qui profitent de l'effort (puisque celui qui déploie s'interdit d'usurper des adresses mais ne s'offre aucune garantie de ne plus recevoir de paquets usurpés). La direction financière ne sera pas d'accord pour déployer. Autrement dit : si l'opérateur déploie, il supporte les coûts, s'il ne déploie pas, les inconvénients sont supportés par la communauté et il profite des déploiements des autres. Comme souvent en écologie, la somme des intérêts individuels ne fait pas l’intérêt collectif.
DNS
* Pourquoi a t-on rajouté ça ? Car les IPs ne sont pas stables (elles dépendent de l'opérateur, du fournisseur de service,...) et les noms sont plus facilement mémorisables pour les humains. En informatique, on peut résoudre tous les problèmes en rajoutant une indirection, ce que fait le DNS.
* Technologie d'infrastructure : tant que ça marche, on ne s'en rend pas compte. Ce que fait que Ceux qui savent comment ça marche et échange à ce sujet sont en petite communauté.
* Un nom se compose de plusieurs composants (nombre quasi illimité (127 max de longueur)) : racine, TLD,...
* Le DNS est arborescent. Avantages : vitesse et délimitation de l'autorité de chaque acteur ; Inconvénient : dépendance (laquadrature.net. nécessite que net. fonctionne pour fonctionner)
* Le DNS est décentralisé : chaque acteur fait ce qu'il veut chez lui.
* Qui décide d'enregistrer un nom ? À l'époque du HOSTS.TXT (annuaire centralisé pas flexible, /etc/hosts quoi) géré par le SRI-NIC, il fallait mailer Elizabeth Feinler et hop, on avait le nom désiré. Ça soulève des questions : qui a le pouvoir sur ce fichier ? Qui nomme Elizabeth ? Sur quels critères la nomme-t-on ? Aujourd'hui : c'est plus compliqué.
* Explications sur le processus de résolution d'un nom qui, on le voit, implique plusieurs acteurs qui doivent gérer les machines, payer les techniciens,...
Acteurs du DNS :
* Plusieurs acteurs, plusieurs coopérations entre des sociétés commerciales différentes et concurrentes (ex : Orange / OVH)
* Registre/registry (AFNIC pour fr/re/tf/pm/wf, Verisign pour com. ,...)
* Bureaux d'enregistrement/registrar (Gandi,
* Hébergeurs DNS (OVH, Gandi,...)
* Gérants de résolveurs DNS (FAI, Google, Cisco (OpenDNS),...). Il n'y a que le ministre qui croit qu'il y'a uniquement Orange/Numericable/Free
* Un même acteur peut avoir plusieurs rôles (registrar et hébergeur, registre+registra+hébergeur devient courant avec les nouveaux gTLD)
Qui décide, qui organise la technique derrière ? Pas toujours clair. Mais c'est positif : si une seule organisation pouvait décider de tout, ça serait bad. Exemples :
* Chaque registre a ses propres règles pour l'enregistrement de noms. Enregistrer un bzh nécessite d'avoir un vague lien avec la Bretagne
* Pour la racine, c'est le gouvernement US qui décide, caché derrière l'ICANN (livre vert de Clinton en 1997) : pour tout ajout dans la racine, même le changement d'une IP, il faut une autorisation écrite d'un fonctionnaire à Washington.
* Pour un résolver : le gérant du résolver (pour rediriger vers de la pub et servir ainsi ses intérêts) ou son gouvernement d'appartenance (pour appliquer la censure administrative) ou la justice locale.
* Fonctionnement technique du DNS : IETF, organisme ouvert à tous et toutes, via les normes techniques qu'il produit, les RFC. Mais l'IETF n'a pas de police pour vérifier l'application des RFC.
=> Il n'y a pas une seule source du pouvoir. Le rêve de beaucoup (exemple : les ayants-droits) qui voudraient un bouton pour censurer un contenu partout en un instant est un rêve vain.
Passons aux acteurs qui rendent moins efficace le bien commun.
Les méchants :
* Hackers russes et chinois ?
* Pédophiles djihadistes radicalisés ? Exemple : Cazeneuve a déclaré, au FIC : « On est en guerre » pour parler du deface de l'Office national de la chasse et de la faune sauvage :D
* Industries du divertissement et des jeux d'argents ? ARJEL est l'une des premières censures DNS en France sous prétexte qu'un site web de jeu d'argents ne paie pas sa dîme à l'État
* NSA et DGSE ?
* Mythe du lycéen cagoulé dans son garage ?
Les méchants sont minoritaires, c'est pour cela que le monde tourne
Les négligents :
* Ils sont très nombreux mais pas très menaçants individuellement.
* Ils manquent de temps, de compétences. Exemples : les PC winwin zombis
* Beaucoup de gens sont largués ou irresponsables genre correction de la faille Kaminsky (empoisonnement de cache DNS) : en 2j, 25% des serveurs vulnérables étaient patchés. En un mois : 50%. En un an : 55%...
Déploiement d'une nouveauté dans le DNS, l'exemple des IDN (nom de domaine en Unicode donc accents et alphabet non latin) : nécessite peu de changements dans les logiciels qui font tourner l'infrastructure. Changements dans les logiciels côté utilisateur. Norme technique en 2003, noms Unicode autorisés dans la racine en 2009, toujours pas prise en charge par des hébergeurs et des logiciels. Il faut mettre à jour les cerveaux or beaucoup ne remettent pas en cause ce qu'ils ont appris sans compter que la fausse information se propage toujours plus vite que la vraie.
Passons aux problèmes
Robustesse : Tremblement de terre en 2010 à Haïti, .ht n'a jamais stoppé grâce à une infrastructure résiliente (des serveurs en dehors de l'île). Les gérants des serveurs extérieurs ont pu spontanément prolonger le service sans joindre les gérants initiaux. Conclusion : la coopération humaine, ça marche.
La censure via les DNS menteurs : la liste du ministère est secrète donc envoyée à un petit nombre de résolveur donc les autres de l'appliquent pas ; les petits FAI ne sont jamais assignés devant les tribunaux et donc n'appliquent pas les décisions de justice. Conclusion : l'éclatement des formes de décisions limite les formes de censure.
Qui décide de la racine unique ?
* Il faut une racine unique sinon un même nom de domaine pourrait pointer sur des contenus différents !
* C'est les gérants de chaque résolver DNS qui choisissent la racine que leur logiciel va utiliser, c'est un paramètre de la configuration comme un autre
* Des racines alternatives existent
* Pourtant, en pratique, tout le monde utilise la racine de l'ICANN/gouvernement US, même la Chine et autres régimes bienveillants car intérêt commun
* Une racine différente pourrait fonctionner en Corée du Nord qui est refermée sur elle-même mais pas en Chine qui est insérée dans l'économie mondiale (on peut donc s'y rendre physiquement, en sortir,...)
Donc, s'il n'y a pas de chef, c'est forcément la jungle ? Non, la coopération s'organise : adminsys causent sur IRC, organisations professionnelles comme l'OARC, listes de discussion, forums, twitter (qui est le meilleur logiciel de monitoring :D ). La coopération, ça marche mieux autour d'une bière ou d'une autre activité humaine. L'exemple typique c'est les attaques par déni de service ((D)dos) : il n'y a pas de procédure pour juguler et réparer, ça marche mieux avec des humains.
Conclusion
* DNS est un bien commun donc pas de chef, tout le monde est partie prenante et coopère
* Donc gouvernance compliquée, on pourrait résoudre des problèmes plus rapidement mais elle génère aussi de la robustesse (à la censure, par exemple)
Questions [ NDLR : Je n'ai très certainement pas noté toutes les questions/réponses ! ] :
* Expliquer ce qu'est DNSSEC ?
* Que penser des nouveaux gTLD comme xyz, coca,... ? Semble être bon pour le business et ça n'affecte pas les autres (principe de l'arborescence du DNS)
* [ NDLR : Je n'ai raté la question ]. Gestion par anarchie : il ne faut pas voir le monde en binaire. Le Net n'est pas le jardin d'Éden mais n'est pas l'enfer non plus. Si les humains étaient parfaits, il n'y aurait pas besoin d'organiser les communs mais l'humain est imparfait et les communs tentent de gérer ça
* Qu'est-ce qui justifie la différence de prix entre fr. et bzh. ? Citation du livre de Laurent Chemla, fondateur de Gandi et auteur de « Confessions d'un voleur » dans lequel il dépeint l'arnaque que constitue selon lui la vente de noms de domaine. L'enregistrement d'un nom ne coûte presque rien car il s'agit d'une ressource virtuelle mais il y a quand même des coûts pour faire les backups, assurer la traçabilité d'un nom (même si avec 4,50€ encaissés par l'AFNIC pour l'achat d'un fr. l'AFNIC ne va pas vérifier l'adresse postale ou autre vérification poussée)... Mais il y a des coûts cachés : une résolution d'un nom est gratuite alors qu'il y a 300 machines cachées derrière qu'il faut faire fonctionner et administrer. Qui paye ?
* Relance de la question précédente. « Mince, je n'ai pas réussi à noyer le poisson ». :D SB n'est pas décideur de la grille tarifaire de l'AFNIC (bzh est techniquement géré par l'AFNIC) et son salaire en dépend.
* Avenir du tout décentralisé comme NameCoin ou GnuNet ? Techniques intéressantes mais on a d'autres problèmes : conservation de la clé privée, problème de documentation (FAQ de NameCoin incorrecte pour l'enregistrement d'un nom), problème de compétences. Namecoin décollera le jour où y'aura des sortes de notaires pour faire l'intermédiaire.
* Question IRC : penses-tu qu'une zone DNS soit éditable avec vi ? Emacs
* Peux-tu nous parler de la vie privée et DNS, des travaux à l'IETF comme la qname minimization ? [ NLDR : étant sensibilisé à la problématique, je n'ai pas noté la réponse à ma propre question :S donc je vous donne un pointeur :
https://tools.ietf.org/html/rfc7626 et qname minimization consiste, pour un résolver, à ne pas envoyer le nom complet demandé comme shaarli.guiguishow.info. aux serveurs de la racine, aux serveurs de info.,... quand ils n'ont rien en cache puisqu'ils ces serveurs n'ont pas la réponse (racine connaît juste les serveurs d'info, info. connaît juste les serveurs de guiguishow.info. ]
(
Permalink)