L’Observatoire de la résilience de l’Internet français vient de publier la troisième édition de son rapport annuel. C’est l’occasion de rappeler l’existence de cet observatoire, ses travaux et les recommandations qu’il émet.
Les missions de l’observatoire
L’Observatoire de la résilience de l’Internet français créé par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) est un lieu d’échanges ouvert aux acteurs de l’Internet en France qui s’est donné pour mission d’améliorer la connaissance de l’Internet en France en étudiant les technologies critiques à son bon fonctionnement.
Les travaux de l’observatoire consistent essentiellement à définir, à mesurer des indicateurs représentatifs de la résilience et à en publier les résultats une fois l’an, accompagnés de recommandations et de rappels des bonnes pratiques opérationnelles en la matière. La résilience peut être définie comme étant la capacité d’un système à continuer à fonctionner pendant un incident et à revenir à un état nominal. En pratique, l’amélioration de la résilience revient souvent à mettre en œuvre des règles d’ingénierie, appelées bonnes pratiques, qui permettent de limiter en amont les impacts d’un éventuel incident.
C’est pourquoi outre le fait de dresser un portrait de l’Internet en France, l’observatoire se veut également un instrument pour diffuser et faire adopter les bonnes pratiques au sein de la communauté.
Le rapport annuel de l’observatoire est une publication de l’ANSSI en coopération avec l’Afnic. L’ANSSI prend en charge la mesure d’indicateurs découlant du protocole de routage BGP (Border Gateway Protocol) alors que l’Afnic étudie la résilience du point de vue du protocole de nommage Internet, le DNS (Domain Name System).
L’observation de la résilience sous l’angle du DNS
Dans ce qui suit nous donnons un bref aperçu des indicateurs DNS que nous mesurons et qui nous paraissent refléter assez bien certaines caractéristiques de l’Internet en France.
Voyons tout d’abord où sont situés les serveurs DNS des zones que l’Afnic délègue sous le « .fr ».
La figure 1 montre que plus de 80% des zones déléguées sous « .fr » ont tous leurs serveurs DNS hébergées au sein d’un même AS (Autonomous System ou Système Autonome, entité administrative unique, un opérateur réseau par exemple, qui possède des ressources IP et qui définit et contrôle une politique de routage pour joindre le reste de l’Internet).
Si cette propriété n’est pas importante pour un organisme dont la présence sur Internet n’est pas primordiale, il est en revanche essentiel que l’infrastructure DNS soit répartie sur plus d’un AS dès lors que celle-ci doit être opérationnelle sans interruption et ce afin de faire face à un incident qui toucherait le réseau de l’hébergeur et isolerait les serveurs DNS de l’organisme et toutes les ressources qui en découlent durant une panne.
Figure 1 – Nombre d’AS hébergeant les serveurs DNS par zone déléguée sous « .fr »
Figure 2 – Répartition de l’hébergement des serveurs DNS des zones déléguées sous « .fr »
Autre élément que l’observatoire suit attentivement depuis le départ, c’est l’état du déploiement du protocole IPv6 sur les infrastructures en France. Pour cela, nous regardons entre autres le trafic IPv6 reçu par les serveurs DNS faisant autorité pour le « .fr » et les adresses IPv6 publiées au niveau du DNS pour les principaux services que sont le DNS, le mail et le web. La figure 3 en donne un aperçu et démontre qu’IPv6 reste encore peu déployé sur les services de messagerie et sur le web.
Figure 3 – Services compatibles IPv6 pour les zones déléguées sous « .fr »
Pour finir, l’Afnic qui encourage vivement les hébergeurs et les titulaires de noms de domaines à sécuriser leur infrastructure DNS, promeut et suit la progression du déploiement de DNSSEC, un mécanisme standard prévu pour protéger l’infrastructure DNS contre les attaques du type « empoisonnement de cache ». La figure 4 démontre que cette technologie si elle a progressé sur deux ans, elle était encore bien peu déployée en France à fin 2013.
Figure 4 – Taux de zones déléguées sous « .fr » signées avec DNSSEC
Quel diagnostic ?
Les membres de l’observatoire considèrent que l’état de l’Internet français demeure satisfaisant ; néanmoins les bonnes pratiques concernant les protocoles BGP et DNS ne sont pas pleinement suivies. C’est pourquoi l’observatoire émet les recommandations suivantes en direction des acteurs français :
- déployer IPv6 afin de développer rapidement les compétences, et d’anticiper les problèmes opérationnels futurs ;
- bien répartir les serveurs DNS faisant autorité afin d’améliorer la robustesse de l’infrastructure ;
- tester DNSSEC et le déployer pour lutter contre les attaques par pollution de cache ;