Résilience de l’Internet français : pas mal, mais peut mieux faire
L’Anssi et l’Afnic viennent de se pencher sur la capacité de l’Internet hexagonal à résister à des incidents puis à retrouver son fonctionnement nominal. Un audit partiel, qui s’est concentré sur le protocole de routage BGP et sur les serveurs DNS, qui présente des résultats plutôt satisfaisants mais pointe surtout des voies d’amélioration.
Que se passerait-il en cas d’incident majeur sur les infrastructures qui portent Internet en France ? Seraient-elles capables de ramener rapidement le réseau à son état de fonctionnement nominal ? C’est à ces questions que l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), et l’Afnic, responsable de la gestion du .fr, ont essayé d’apporter un début de réponse. Pour cela, les deux agences se sont concentrées sur le protocole de routage BGP et sur les serveurs DNS. Comme elles l’expliquent dans un rapport commun, les deux agences ont cherché, pour BGP, à examiner la fiabilité des informations de routage, la connectivité entre opérations, et la fréquence de l’usurpation dans les informations de routage. Pour les serveurs DNS, elles se sont attachées à étudier «la dispersion des serveurs de noms [...], le nombre de serveurs DNS qui n’ont pas été corrigés pour un faille majeure (dite ‘faille Kaminsky’), et l’état du déploiement de certains protocoles comme IPv6 et DNSSEC.»
Si l’Anssi et l’Afnic affichent une relative satisfaction devant les résultats, elles ne manquent pas de pointer certains problèmes. Concernant BGP, elles relèvent ainsi que «la conformité des déclaration de routes et la réalité des annonces BGP varient selon l’opérateur mais aussi selon la période de l’année; cinq opérateurs de transit assurent une grande partie de la connectivité des quatre opérateurs français étudiés; les usurpations de routes sont très fréquentes mais la très grande majorité sont le résultat d’erreurs humaines, notamment dans les relations client/fournisseur, et non de détournements délibérés.» Bref, pas de volonté de nuire, mais des éléments qui peuvent soulever des questions sérieuses. En particulier, le rapport souligne que «suite à des rachats [d’acteurs du marche, NDLR] les objets route initiaux n’ont pas été mis à jour» ou encore que certaines usurpations sont tout simplement liées à des annonces légitimes en délégation mais pour lesquelles les déclarations d’objets route n’ont pas eu lieu.
Pour les DNS, la situation est comparable : «pour la majorité des zones sous .fr, le nombre de serveurs de noms est suffisant.» Dès lors, l’infrastructure est plus vulnérable. Surtout, «quatre ans après la publication [de la faille ‘Kaminsky’] et de sa correction, des serveurs de noms [10 %] utilisent toujours des implantations logicielles vulnérables.» Si les auteurs du rapport ne le présentent pas ainsi, on peut être tenté de penser que l’on flirte là avec l’inacceptable. Quant à adopter les nouveautés, on sent une certaine réserve - à tout le moins : «les déploiements de certaines extensions techniques, nécessaires à la pérennité d’Internet, comme IPv6 et DNSSEC, restent très faibles.» Et de relever 40 % des zones DNS supportant IPv6 mais seulement 1 % des serveurs Web. Quant à DNSSEC : «pratiquement pas de zones signées.»
In fine, l’Anssi et l’Afnic estiment «que la situation de l’Internet français est aujourd’hui acceptable, mais que rien ne garantit que cela suffise à l’avenir.» Et d’appeler «tous les acteurs» à s’investir «pour une amélioration permanente de la résilience.» Un investissement de tous d’autant plus important qu’Internet revêt désormais un caractère «critique» pour notre société et que sa nature massivement distribuée est source «d’interdépendance» des acteurs, une situation qui «augmente le risque, au moins théorique, de crise systémique.»
Pour 2012, l’Anssi et l’Afnic entendent étendre le périmètre étudié avec, notamment les attaques DNS «perçues par les serveurs caches».