Le sujet fait évidemment allusion à un certain nombre de cas connus : projet étasunien de doter le Président d’un gros bouton rouge pour éteindre l’Internet, pannes spectaculaires comme celle due à l’attribut 99 de BGP ou celle du DNS chinois, « attaques accidentelles » comme celle de Pakistan Telecom contre YouTube ou celle de China Telecom, mesures liberticides prises par des États qui trouvent l’Internet trop libre (filtrage systématique, allant jusqu’au détournement du DNS en Chine, loi LOPPSI en France, etc), tentatives (assez ridicules, surtout en France) de faire taire WikiLeaks. Tous ces faits mènent à se poser des questions : si un excité du menton veut censurer Internet, est-ce possible ? Une attaque par les chinois rouges et communistes peut-elle nous priver de services indispensables à la vie humaine, comme Facebook ? La prochaine bogue dans IOS ou Windows va t-elle stopper tout l’Internet ?

Il n’a pas manqué d’articles sensationnalistes sur ce thème. Selon eux, l’Internet serait tellement fragile que deux ou trois lycéens dans leur garage, a fortiori une organisation comme Al-Quaida, pourrait tout casser. Par exemple, lors de la bavure de China Telecom en avril 2010, on a vu apparaitre une quantité d’articles ridicules sur la soi-disant vulnérabilité de l’Internet (par exemple sur Fox News ou Computer World). Ces articles sensationnalistes ont évidemment eu plus de succès que la froide technique.

À l’opposé de ce discours apocalyptique « on va tous mourir », on voit des neuneus se présentant comme hackers qui prétendent que l’Internet est invulnérable, que les puissants de ce monde n’arriveront jamais à le censurer, et qu’on ne peut pas arrêter le libre flot de l’information.

Qu’en est-il vraiment ? Peut-on éteindre l’Internet ou pas ? Est-il très robuste ou très fragile ? Ces questions n’ont pas de réponse simple. Si on me presse pour fournir une réponse binaire, je dirais « On ne peut pas éteindre complètement l’Internet. Besson et Mitterrand rêvent, ils n’ont pas ce pouvoir. Et l’Internet, très résilient, résistera toujours aux pannes comme celle de l’attribut 99. ». Mais la vraie réponse mériterait d’être bien plus nuancée.

Car tout dépend de l’objectif qu’on se fixe en disant « éteindre l’Internet ». Il est très difficile de couper l’Internet pendant une longue période. Mais des attaques réussies l’ont déjà sérieusement perturbé pendant plusieurs minutes, avant que les protocoles et les humains ne réagissent. L’Internet n’est pas invulnérable. Une des meilleures raisons pour lesquelles la question « Peut-on éteindre l’Internet ? » n’a pas de réponse simple est qu’il est très facile de perturber l’Internet (BGP, par exemple, n’offre pratiquement pas de sécurité et il n’en aura pas de si tôt), mais très difficile de faire une perturbation qui dure plus de quelques heures (dans tous les cas existants, la réaction a pris bien moins de temps que cela).

De même, il est très facile de planter un service donné. Même pas besoin de pirates chinois pour cela. Une erreur de configuration, et un service fondamentalement stratégique est inaccessible. Pour beaucoup de simples utilisateurs, de ceux qui ne travaillent pas quotidiennement sur l’Internet, « Facebook est en panne » n’est pas très différent de « l’Internet est en panne ». Mais, pourtant, pendant de telles pannes, tout le reste de l’Internet fonctionne (et même mieux, les tuyaux étant moins encombrés). Si on peut comprendre que Jean-Kevin Michu ressente douloureusement l’arrêt de son service favori, les analystes qui prétendent produire un discours sérieux sur l’Internet devraient un peu raison garder et ne pas parler de « vulnérabilité de l’Internet » à chaque fois que Twitter a une panne.

Sur Internet, la censure locale est facile, la censure totale l’est beaucoup moins

Il est aussi très facile de rendre l’utilisation de l’Internet plus difficile. Tous les censeurs du monde ont appris que couper complètement l’accès était irréaliste. En revanche, le rendre difficile, imposer aux utilisateurs l’emploi de mesures de contournement complexes, est possible. Cela ne découragera pas l’informaticien déterminé et compétent, mais cela peut gêner tellement l’utilisateur ordinaire qu’il renoncera à certains usages. C’est le pari d’organisations répressives comme l’Hadopi, qui sait très bien que les geeks continueront à télécharger quoi qu’il arrive, mais qui compte sur le fait que 95 % de la population ne les suivra pas. Et cela marche dans certains cas. Les censeurs ne sont hélas pas sans dents.

Enfin, on peut aussi noter qu’il est très facile d’éteindre l’Internet en un lieu donné. Chez moi, je peux couper l’accès à ma famille facilement. Dans un pays donné, on peut empêcher l’accès Internet. Cela se fait en Birmanie ou en Corée du Nord. En Tunisie, la mise en place du système de censure connu sous le nom d’« Ammar404 » avait été précédé d’une coupure complète de l’Internet pendant six mois, bloquant tous les usages légitimes. Il a fallu une révolution pour mettre fin au système de filtrage installé à cette occasion. C’est une coupure complète dans le monde entier qui est très difficile mais un dictateur local a toujours des possibilités.

Arrivé à ce point, certains lecteurs trouvent peut-être que je suis trop prudent et qu’il devrait être quand même possible de répondre en deux mots à une question aussi simple que « peut-on éteindre l’Internet ? ». Mais, si la question est compliquée, c’est parce que l’Internet n’est pas un objet unique et localisé dans l’espace, qu’on peut détruire facilement. C’est plutôt une espèce vivante. Chaque individu est très vulnérable, on peut le tuer et, si on est suffisamment dénué de scrupules, on peut même en tuer beaucoup. Mais éradiquer l’espèce entière est plus difficile. La résistance de l’Internet aux pannes et aux attaques n’est pas celle d’un blockhaus passif, qu’on peut toujours faire sauter, avec suffisamment d’explosifs. C’est la résistance d’une espèce vivante, et intelligente (les professionnels qui font fonctionner l’Internet réagissent, corrigent, modifient, et rendent la tâche difficile pour les censeurs et les agresseurs, comme l’a montré la mobilisation autour de WikiLeaks). L’Internet peut être blessé mais le tuer nécessitera beaucoup d’efforts.

Renforçons l’Internet

Une autre raison pour laquelle je ne donne pas de réponse ferme est que je ne suis pas trop intéressé par les débats pour observateurs passifs, regardant l’incendie en se demandant gravement s’il va être éteint ou pas. Je préfère travailler à améliorer la situation. Peut-on améliorer la résilience de l’Internet, sa résistance aux censeurs, aux pannes, et aux attaques diverses ? Et là, la réponse est claire : oui, on peut. On peut analyser les vulnérabilités, travailler à repérer les SPOF et à les supprimer, chercher les dépendances cachées qui risqueraient de faire s’écrouler un domino après l’autre, etc. Là, un travail est possible et nécessaire. Pendant que la loi LOPPSI impose un filtrage de l’Internet et donc diminue sa résistance aux pannes (le système de filtrage ralentit, perturbe et, d’une manière générale, ajoute un élément supplémentaire qui peut marcher de travers), d’autres efforts essaient de rendre l’Internet plus fiable. Par exemple, trop de liaisons physiques sont encore peu redondantes et une seule pelleteuse peut couper plusieurs câbles d’un coup.

Plus sérieux, trop de choses dans l’Internet dépendent d’un petit nombre de logiciels, ce qui fait qu’une bogue a des conséquences étendues. Trop de routeurs utilisent IOS et une seule bogue plante des routeurs sur toute la planète. Comme dans un écosystème où il n’y a pas de variété génétique, un germe peut faire des ravages. Autre exemple, le système ultra-fermé de Skype n’a qu’un seul logiciel, le leur, et une seule bogue peut l’arrêter complètement. Ce point illustre d’ailleurs l’illusion qu’il y aurait à essayer de rendre l’Internet plus robuste par des moyens matériels, comme plus de machines, ou logiciels, comme de passer le DNS en pair-à-pair. L’exemple de Skype, qui repose largement sur des techniques pair-à-pair, montre que ces techniques ne protègent en rien si une erreur dans le logiciel plante tous les pairs en même temps.

Il n’y a pas de solution magique au problème de la résilience de l’Internet. Mais il faut accroître sa diversité, qui permettra de faire face aux menaces du futur.

>> Article initialement publié sur le blog de Stéphane Bortzmeyer

>> Illustration FlickR CC : iNkMan_, nrkbeta

Première remarque : « single point of failure » dans l’architecture distribuée

C’est peut-être la première fois que j’écris une note en me demandant comment je vais faire un lien vers l’organisation dont je parle, à savoir WikiLeaks.

Voilà le premier problème que pose WikiLeaks, site chassé du web par des hébergeurs, puis par le DNS qui apparaît comme single point of failure du web, une clé de voûte du système trop centralisée pour susciter un intérêt renouvelé pour des DNS en p2p.

Deuxième remarque : une divulgation numérique de masse

Outre ce débat sur les DNS et l’architecture du web, on parle également de liberté d’expression à propos de l’affaire WikiLeaks. En l’occurrence je ne vois pas trop bien pourquoi car il ne s’agit pas tellement de l’expression d’une thèse ou d’une idée mais d’une « divulgation numérique de masse », sans commentaires,  et rendue possible par l’évolution du système technologique. Quoi qu’il en soit les discussions les plus fréquentes se posent en terme de droit et de légalité.

Troisième remarque : une sélection

Nous n’avons pas à faire à des micros divulgations faites par des milliers de personnes grâce au travail d’autres milliers de personnes organisant des copies et des fuites d’information. Nous avons plus vraisemblablement quelques personnes, peut-être une seule, qui dévoile des données qui sont ensuite sélectionnées, organisées et divulguées par une seule organisation.

Aussi, ce ne sont pas les données d’un petit pays africain qui sont divulguées ; ce sont les données de l’administration américaine. Et que se serait-il passé si cela avait été les données de l’administration russe, chinoise ou iranienne ? Il y aurait eu a minima un problème de traduction d’une part, et d’autre part les moyens technologiques mis en œuvre pour pousser WikiLeaks hors du web n’aurait probablement pas été aussi importants.

La démarche de WikiLeaks est dirigée contre les États-Unis, même si c’est tout le monde qui est arrosé par effets de bord.

Quatrième remarque : une tragédie numérique

Outre que WikiLeaks fasse un choix, c’est-à-dire sélectionne les données, tout ceci s’accompagne d’une mise en scène : les annonces sont faites avant les divulgations, la figure de Julian Assange est mise en avant, des stratégies de diffusion se font avec la complicité des grands journaux nationaux. Tout sauf une fuite accidentelle relayée anonymement sur Internet de manière improvisée, à la manière du piratage des œuvres dites « culturelles ».

La mise en scène et la théâtralisation de l’affaire WikiLeaks en font une tragédie numérique.

Comme toute tragédie grecque, il y a un public mais aussi un chœur, peut-être joué par les journalistes, ou tout du moins par un certain journalisme d’investigation que l’on croyait en voie de disparition.

Cinquième remarque : le principe de vérité

Ce que WikiLeaks révèle est vrai. Aucune personne n’a, à ma connaisse, contesté la véracité des documents.

On ne parle pas de rumeurs, les documents sont vrais et il est difficile de s’opposer à la diffusion de la vérité. Quel principe, dans notre civilisation occidentale, peut-on placer au dessus de la vérité ? La justice elle-même recherche la vérité pour juger.

Sixième remarque : une fonction cathartique

Il a été argué que la divulgation de ces documents mettait en danger la sécurité et la vie de certaines personnes. Mais, en même temps, l’état du monde est aujourd’hui tel qu’on ne peut s’empêcher de penser que ces divulgations ne peuvent qu’être bénéfiques car la manière dont fonctionne le monde aujourd’hui ne fait pas que menacer la sécurité ou la vie de quelques personnes.

De la à ce que WikiLeaks endosse une fonction cathartique, une fonction de purification et de libération, il n’y a qu’un pas. D’ailleurs, le logo de WikiLeaks l’illustre et le revendique parfaitement.

Septième remarque : crise de confiance

Cette tragédie numérique témoigne d’une crise de confiance sans précédent, non seulement entre les gouvernements eux-mêmes, mais également entre les gouvernements et les citoyens. Situation renforcée par le fait que, finalement, la seule chose sur laquelle le consensus se fasse entre les gouvernements, c’est la mise à l’index de WikiLeaks. Les gouvernements font bloc et exercent une pression énorme sur tous les acteurs privés pour fermer le robinet : hébergement, DNS, mais aussi solution de paiement avec Paypal qui jette l’éponge.

WikiLeaks, peut jouer le rôle d’un déclencheur, mais sera-t-il pour autant cathartique ?

>> On consultera sur ce le sujet : À propos de wikileaks par Stéphane Bortzmeyer et Suites de la fuite de Jean-Noël Lafargue

>> Article initialement publié sur le blog de Christian Fauré

>> Illustrations FlickR CC : Leo Reynolds, alexjtam, kevindooley

On le sait, la grande majorité des articles concernant l’Internet sont faux et, en prime, souvent ridiculement faux. Cela concerne évidemment les médias traditionnels (presse, télévision, etc) mais aussi les forums en ligne où les deux cents commentaires à un article sont écrits par des gens dont la seule compétence technique est l’installation de WordPress (et, parfois, ne soyons pas trop méchants, l’écriture de dix lignes de PHP). Mais des records ont été récemment battus à propos de la légende comme quoi « Sept personnes ont les clés pour rebouter l’Internet ».

Le point de départ de la légende semble avoir été un communiqué publicitaire de l’Université de Bath, « Bath entrepreneur holds key to internet security ». Ce communiqué outrageusement cireur de pompes contenait beaucoup d’erreurs et a été repris, aussi bien dans la presse bas de gamme comme Metro (« Brit given a key to ‘unlock’ the internet ») que dans des médias prétendument sérieux comme la BBC (« Bath entrepreneur ‘holds the key’ to internet security », notez la reprise quasi-littérale du titre du communiqué de presse) ou comme le Guardian (« Is there really a key to reboot the internet? », l’article le moins mauvais du lot).

La légende a ensuite franchi la Manche et, dans la traduction, le côté chauvin et la publicité pour une personne particulière ont disparu. Cela a donné « Sept personnes ont les clés d’Internet ! », « Les sept clés de l’Internet sécurisé » ou « Rebooter internet – Comment ça marche ? » (de moins mauvaise qualité).

Bon, qu’il y a t-il de vrai dans cette légende ? Sur quoi cela s’appuie t-il ? Depuis le 15 juillet dernier, le processus de signature de la racine du DNS par le système DNSSEC est complet : les serveurs de noms de la racine diffusent désormais des informations signées, ce qui permet de détecter des tentatives de modification des données, comme celles utilisant la faille Kaminsky. Tout ce processus est largement documenté sur le site officiel http://www.root-dnssec.org/ et il est symptomatique qu’aucune des personnes qui ait écrit à ce sujet ne l’ait consulté. À l’ère d’Internet, toute l’information est gratuitement et librement disponible, encore faut-il la lire !

Notons d’abord que ce processus ne concerne que le DNS. Certes, ce protocole d’infrastructure est indispensable au bon fonctionnement de la quasi-totalité de l’Internet. Sans lui, on serait limité à des ping (en indiquant l’adresse IP) et à des traceroute (avec l’option -n). Certains services, comme le Web, dépendent encore plus du DNS. Néanmoins, on voit que parler d’un « redémarrage de l’Internet » est ridicule, que DNSSEC fonctionne ou pas n’empêchera pas le réseau de faire passer des paquets.

Ensuite, dans ce processus, quel est le rôle des fameux sept gusses ? Leur nom est disponible sur le site officiel (alors que certains articles disaient « on ne connait que certains d’entre eux » et autres phrases censées faire croire qu’on révélait au lecteur des secrets stratégiques). Leur rôle est décrit dans le document « Trusted Community Representatives ­ Proposed Approach to Root Key Management », document qui a été publié il y a des mois. Le processus complet figure dans « DNSSEC Practice Statement for the Root Zone KSK Operator ». DNSSEC fonctionne en signant cryptographiquement les enregistrements distribués. Il dépend donc d’une clé privée qui doit à la fois être disponible (pour signer) et être protégée pour éviter que les méchants ne mettent la main dessus. (À propos de méchant, tout article qui parle d’« attaque terroriste » est grotesque. Comme si Al-Qaida, spécialiste des bombes et des égorgements, avait tout à coup envie d’empêcher les riches pays du Nord de regarder YouTube.) Un des risques possibles est la perte complète de la clé privée (suite à un incendie ou à un tremblement de terre, risques autrement plus importants que la mythique attaque terroriste). Il y a donc des sauvegardes mais celles-ci sont protégées par chiffrement. Et c’est là qu’interviennent les TCR.

Il y a deux sortes de TCR (« Trusted Community Representatives »), choisis pour assurer des rôles de gestions des clés cryptographiques de DNSSEC. Il y a les « Crypto Officers » qui vont s’occuper de la génération des clés (au cours de solennelles cérémonies) et les « Recovery Key Share Holders » (les fameux sept). Ces derniers sont simplement chargés de garder une partie de la clé qui permettra le déchiffrement des sauvegardes. C’est tout. Ils ne peuvent pas « redémarrer l’Internet », ce qui ne veut rien dire. Mais, si les articles sensationnalistes avaient commencé par « Sept personnes peuvent restaurer les sauvegardes des clés DNSSEC », gageons qu’ils auraient eu moins de succès…

Enfin, il faut relativiser : à l’heure actuelle, si un certain nombre de domaines sont signés par DNSSEC (par exemple, hier, .dk et .edu ont rejoint la liste des TLD dont la racine authentifie la signature), pratiquement aucun résolveur DNS (les serveurs directement interrogés par les utilisateurs) ne valide avec DNSSEC. Que la clé privée soit compromise ou pas ne changera rien, puisque les signatures sont ignorées. Il faudra sans doute des années avant que les résolveurs de M. Tout-le-Monde dépendent d’une signature DNSSEC. La remarque de Bruno, « les 7 gugusses et leurs cartes à puce ont autant de pouvoir sur le bon fonctionnement d’Internet que mon chat sur le problème des embouteillages sur le periph parisien » est donc à 100 % justifiée.

Article initialement publié sur le blog de Stéphane Bortzmeyer

Illustrations CC FlickR par edfrz et kalleboo

Pour comprendre la nature de la mondialisation à une époque donnée, il peut n’être pas inutile de se référer aux stratégies militaires d’occupation de l’espace global, elles aussi fort caractéristiques et révélatrices des grandes structurations à l’œuvre.
Pour illustrer ce point, je voudrais parler de la question actuelle des « positions éminentes » pour le contrôle des domaines publics mondiaux.

De tout temps, en matière de stratégie militaire, le contrôle des « positions éminentes » a joué un rôle essentiel. La maitrise des points hauts, ou de l’espace aérien en sont des exemples. De nos jours, il s’agit surtout de s’assurer le contrôle de la « position éminente » suprême : l’espace.
Rappelons qu’il y a environ 1000 satellites actifs actuellement en orbite. La moitié d’entre eux appartiennent aux États-Unis, et ceux-ci sont approximativement pour 50% d’usage civil et pour 50% d’usage militaire. Rappelons aussi que le 21 janvier 1967 un Traité international a banni la nucléarisation de l’espace – mais pas l’usage d’armes conventionnelles dans l’espace. C’est cette réalité que la polémique internationale autour du système de défense antimissile révèle.

Dans le cadre d’une stratégie globale, que l’on a pu qualifier de « pax americana », l’armée américaine a identifié comme d’importance vitale divers domaines publics à l’échelle globale (« global commons ») : la mer, l’air, l’espace et le cyberespace (sea, air, space, cyberspace).

Elle a aussi défini une doctrine stratégique à leur égard, qu’elle a formulée ainsi: « La domination militaire des domaines publics mondiaux est un facteur clé de la position de puissance globale des États-Unis » (“The “command of the commons” is the key military enabler of the US global power position”).
Le contrôle des domaines publics mondiaux signifie que les États-Unis obtiennent beaucoup plus d’usages et d’avantages de la mer, ou de l’espace que les autres puissances, qu’ils peuvent empêcher leur utilisation par celles-ci, et que ces dernières perdraient tout engagement militaire sur les domaines publics mondiaux si elles cherchaient à en empêcher l’accès aux États-Unis. “Command means that the US gets vastly more military use out of the sea, space and air than do others, that it can credibly threaten to deny their use to others, and that others would lose a military contest for the commons if they attempted to deny them to the US.” Barry Posen, The Military Foundations of US Hegemony, International Security, Summer 2003, pp. 5-46 .

On trouve aussi formulée une doctrine plus “politique” des domaines publics mondiaux, traduisant de façon fort intéressante l’admission d’un lien structurel entre les « domaines publics » et le « bien commun » mondial. C’est la doctrine selon laquelle : « La stabilité des domaines publics mondiaux est en soi un bien commun » (“Stability within the global commons is a public good”).
Tout le monde a en effet un intérêt évident à une « stabilité » des domaines publics. La plupart des pays ont un très grand intérêt à cette stabilité, mais il est aussi vrai que d’autres pays, qui n’en tirent que peu d’avantages directs, restent de par leur degré de développement incapables de tirer tout le parti souhaitable des domaines publics mondiaux.
La puissance dominante, qui en tire des avantages tactiques et stratégiques absolument essentiels, estime en conséquence qu’il lui revient le rôle d’assurer la protection ou la garantie de cette stabilité. La question plus générale de savoir si cette stabilité est mieux garantie sous leur égide, plutôt que par un autre mécanisme, par exemple multilatéral, reste ouverte.

Mais ce qui m’intéresse surtout ici c’est le concept stratégique de « position éminente », dans le contexte plus large des sociétés de la connaissance.
La notion concrète de « position éminente » varie à l’évidence suivant les milieux où l’on opère. La volonté de « domination » (« command ») qui se traduit d’une certaine manière dans l’espace, comment se traduit-elle donc dans le cyberespace ?
Plus généralement, quelles sont les « positions éminentes » dans la société de l’information et de la connaissance?

On peut avancer par exemple les nœuds de concentration mondiale du trafic Internet, les treize « serveurs racine » du DNS (dotés du système « Carnivore » ou de logiciels d’analyse des données « deep packet inspection »).
Mais il y a aussi le contrôle de l’architecture des réseaux et de ses grandes « autoroutes de l’information » (citons le système d’espionnage Echelon pour les satellites et divers autres systèmes d’espionnage pour les fibres sous-marines). L’architecture logicielle générale, les routeurs (avec les trap-doors), la prééminence dans le domaine des virus et autres chevaux de Troie électroniques, font à l’évidence partie des autres « positions éminentes » dont il s’agit de s’assurer le contrôle. Voir à ce sujet http://www.eff.org/issues/nsa-spying.

Naturellement, si j’ose dire, les « domaines publics » de la société de l’information peuvent être « contestés » par d’autres puissances (« contested commons »). L’espace en fait partie. On cite souvent, à cet égard, le récent tir d’un missile chinois sur l’un de ses propres satellites. Cela a pu être interprété comme un « message » adressé au monde sur la question de l’arsenalisation croissante de l’espace.
Les attaques de cyberguerre (cf l’affaire Google) font partie du même scénario de « contestation des communs ».

Un autre exemple de « communs », à la fois contestés et enchevêtrés (couplant des questions de stratégie militaire globale, et des systèmes clé pour les sociétés d’information): le système GPS, qui se voit concurrencé par le système européen Galileo.

On pourrait utilement chercher d’autres aspects stratégiques du concept de « position éminente » dans le cadre des sociétés de l’information. Ainsi, quel statut donner au renforcement continu de la propriété intellectuelle depuis plusieurs décennies ? (Barrages de brevets, frappes juridiques préemptives). Le non-débat public et démocratique sur l’Accord commercial Anti-Contrefaçon (ACAC ou ACTA en anglais) en fait partie.
Font aussi partie de la stratégie du « contrôle des communs », les questions de la captation privative des capitaux cognitifs (Google), sociaux (Facebook), attentionnels (Twitter), humains (marchandisation des données personnelles, observation et de l’exploitation des « intentions » des usagers).

Il faudrait, plus généralement, s’interroger sur le rôle global, stratégique et tactique, des techniques d’appropriation et de domination du domaine public des informations et des connaissances, et les confronter à une réflexion, par ailleurs urgente, sur la nature même de l’intérêt général mondial.

—

> Billet initialement publié sur Metaxu sous le titre “La position éminente”

> Illustration sacrifice_87 sur FLickr