Une loi américaine proposée par le Sénat américain et baptisée "Protect IP Act" est dénoncée par un groupe de chercheurs en sécurité et télécommunications pour ses contradictions et ses effets pervers.
Destinée à lutter contre le piratage des œuvres audiovisuelles sur Internet, cette loi se propose de donner au gouvernement américain la possibilité d'obtenir des décisions judiciaires imposant au fournisseur DNS de 3 domaines de têtes de cesser de fournir les réponses pour les domaines incriminés.
Prenons un exemple : si vous cherchez le site www.mechants-voleurs-de-musique.com, votre ordinateur déclenchera à un moment ou à un autre une requête vers le système DNS afin d'obtenir une réponse sous forme d'adresses IP vous permettant d’accéder à la ressource susdite sur le réseau. Ex. : 12.47.85.65 (faux exemple non contrôlé).
Ce que souhaite faire cette loi, c'est obliger les personnes gérant les domaines .com, .net et .org à ne plus vous fournir la réponse numérique identifiée ( 12.47.85.65). Wikileaks avait déjà subi ce genre de traitement au moment des révélations les plus conséquentes.
D'ores et déjà, on peut noter plusieurs points :
- les 3 domaines cités sont plus "américains" que d'autres car les deux premiers (.com et .net) sont gérés par un même opérateur qui gère également une partie de l'infrastructure racine du système. Le dernier est géré par un organisme en lien avec l'IETF qui produit les fameuses RFC. Cela veut donc dire que, pour la majorité, ou du moins, un très grand nombre de domaines de têtes, cette loi ne peut pas fonctionner aussi facilement sauf à porter atteinte au système central du DNS, ce qui serait grave, où à forcer les internautes à utiliser certains serveurs DNS "manipulés", ce qui n'est pas mieux.
- par ailleurs, le fait de cesser de répondre aux requêtes DNS ne signifie pas la disparition de la ressource en ligne. Bien au contraire, celle-ci est toujours accessible seulement on y accèdera par l'adresse IP directement via le navigateur ou encore si votre navigateur se souvient de cette adresse, cela pourra être transparent pour vous pendant un certain temps.
- enfin, le fait de cesser de répondre sur un ou plusieurs domaines n'empêche pas l'achat d'autres domaines ou encore la constitution de nombreux noms de domaine alternatifs comme cela avait été le cas pour Wikileaks. Bloquer, à partir Etats-Unis, des domaines ou sous-domaines appartenant au .fr ou .de ou d'autres reviendrait à obliger les internautes américaines à utiliser des DNS modifiés et dotés de liste "noire"...ce qui mettrait fin à la composante neutre du service sur lequel repose tout de même de nombreuses autres fonctionnalités du NEt.
Les auteurs qui s'expriment contre ce projet de loi dans un document complet sont notamment Steve Crocker, un "gourou" des réseaux, internet et sécurité à qui l'on doit notamment le tout premier des RFC et Dan Kaminsky qui avait mis à jour une aggravation d'une vulnérabilité développant ainsi une faille d'envergure dans le système DNS, ce qui avait contribué à l'accélération de l'adoption de DNSSEC.
Les auteurs dénoncent ainsi non seulement le manque d'efficacité de la décision mais aussi les contradictions avec d'autres documents et décisions du gouvernement des Etats-Unis insistant notamment sur la criticité du système. Plus encore, les auteurs avancent également que cette loi aurait un effet pervers sur le fonctionnement de DNSSEC, un ajout au protocole DNS permettant de renforcer certaines fonctions de sécurité (surtout l'intégrité des données en fait). DNSSEC est également identifié comme une composante majeure de l'élévation du niveau global de sécurité au sein du cyberespace par les acteurs publics et privés aux Etats-Unis.
Je n'irai pas plus loin dans les détails des problématiques de sécurité ou d'atteinte au service que peuvent causer une telle loi. Remarquons seulement que nos gouvernements semblent parfois ignorer ce que "l'autre main" peut faire. Au delà de la question politique qui ne m'intéresse que moyennement, il me parait nécessaire de considérer la dangerosité de ce type de loi qui non contente d'être absolument inefficace fait aussi peser de sérieuses craintes sur le fonctionnement et les services rendus par les infrastructures du Net.
Source :
http://www.wired.com/threatlevel/2011/05/dns-filtering/
http://infojustice.org/archives/3469
Destinée à lutter contre le piratage des œuvres audiovisuelles sur Internet, cette loi se propose de donner au gouvernement américain la possibilité d'obtenir des décisions judiciaires imposant au fournisseur DNS de 3 domaines de têtes de cesser de fournir les réponses pour les domaines incriminés.
Prenons un exemple : si vous cherchez le site www.mechants-voleurs-de-musique.com, votre ordinateur déclenchera à un moment ou à un autre une requête vers le système DNS afin d'obtenir une réponse sous forme d'adresses IP vous permettant d’accéder à la ressource susdite sur le réseau. Ex. : 12.47.85.65 (faux exemple non contrôlé).
Ce que souhaite faire cette loi, c'est obliger les personnes gérant les domaines .com, .net et .org à ne plus vous fournir la réponse numérique identifiée ( 12.47.85.65). Wikileaks avait déjà subi ce genre de traitement au moment des révélations les plus conséquentes.
D'ores et déjà, on peut noter plusieurs points :
- les 3 domaines cités sont plus "américains" que d'autres car les deux premiers (.com et .net) sont gérés par un même opérateur qui gère également une partie de l'infrastructure racine du système. Le dernier est géré par un organisme en lien avec l'IETF qui produit les fameuses RFC. Cela veut donc dire que, pour la majorité, ou du moins, un très grand nombre de domaines de têtes, cette loi ne peut pas fonctionner aussi facilement sauf à porter atteinte au système central du DNS, ce qui serait grave, où à forcer les internautes à utiliser certains serveurs DNS "manipulés", ce qui n'est pas mieux.
- par ailleurs, le fait de cesser de répondre aux requêtes DNS ne signifie pas la disparition de la ressource en ligne. Bien au contraire, celle-ci est toujours accessible seulement on y accèdera par l'adresse IP directement via le navigateur ou encore si votre navigateur se souvient de cette adresse, cela pourra être transparent pour vous pendant un certain temps.
- enfin, le fait de cesser de répondre sur un ou plusieurs domaines n'empêche pas l'achat d'autres domaines ou encore la constitution de nombreux noms de domaine alternatifs comme cela avait été le cas pour Wikileaks. Bloquer, à partir Etats-Unis, des domaines ou sous-domaines appartenant au .fr ou .de ou d'autres reviendrait à obliger les internautes américaines à utiliser des DNS modifiés et dotés de liste "noire"...ce qui mettrait fin à la composante neutre du service sur lequel repose tout de même de nombreuses autres fonctionnalités du NEt.
Les auteurs qui s'expriment contre ce projet de loi dans un document complet sont notamment Steve Crocker, un "gourou" des réseaux, internet et sécurité à qui l'on doit notamment le tout premier des RFC et Dan Kaminsky qui avait mis à jour une aggravation d'une vulnérabilité développant ainsi une faille d'envergure dans le système DNS, ce qui avait contribué à l'accélération de l'adoption de DNSSEC.
Les auteurs dénoncent ainsi non seulement le manque d'efficacité de la décision mais aussi les contradictions avec d'autres documents et décisions du gouvernement des Etats-Unis insistant notamment sur la criticité du système. Plus encore, les auteurs avancent également que cette loi aurait un effet pervers sur le fonctionnement de DNSSEC, un ajout au protocole DNS permettant de renforcer certaines fonctions de sécurité (surtout l'intégrité des données en fait). DNSSEC est également identifié comme une composante majeure de l'élévation du niveau global de sécurité au sein du cyberespace par les acteurs publics et privés aux Etats-Unis.
Je n'irai pas plus loin dans les détails des problématiques de sécurité ou d'atteinte au service que peuvent causer une telle loi. Remarquons seulement que nos gouvernements semblent parfois ignorer ce que "l'autre main" peut faire. Au delà de la question politique qui ne m'intéresse que moyennement, il me parait nécessaire de considérer la dangerosité de ce type de loi qui non contente d'être absolument inefficace fait aussi peser de sérieuses craintes sur le fonctionnement et les services rendus par les infrastructures du Net.
Source :
http://www.wired.com/threatlevel/2011/05/dns-filtering/
http://infojustice.org/archives/3469