Home » Internet, Nouveau monde, Projets & Participations

Infowar – DNS Weapon

4 décembre 2010 un commentaire
tags : , ,
Download PDF

Crédit photo : Pascal Charest

Je vous en parlais il y a quelques temps, principalement à propos d’HADOPI qui a éveillé, dans notre beau pays des droits de l’homme, les voix qui crient au danger imminent. Les armes se fabriquent désormais avec des claviers et des écrans.

Ces derniers jours, la problématique de l’accès à l’information jugée subversive par les états est revenue sur le devant de la scène avec l’affaire Wikileaks.

La question de la sécurité et de l’intégrité des DNS et, plus largement, de l’ensemble des services du réseau se pose une nouvelle fois. Que faire, avant que ces messieurs dames ne nous tranchent les câbles pour de bon ?

Un projet de réseau DNS basé sur les principes du peer2peer a émergé ces derniers jours à l’initiative de Peter Sunde (l’un des fondateurs de The Pirate Bay). Bien que peu documenté et encore à l’état embryonnaire, ce projet est caractéristique de la mouvance actuelle qui consiste à ne plus laisser de services primordiaux du réseau dans les mains d’une seule puissance.

La mésaventure de Wikileaks avec ses DNS partis aux abonnés absents m’a fait ressortir une idée des cartons. C’est encore un truc qui devra fédérer un grand nombre de gens pour être pertinente.

La solution actuelle pour limiter l’impact des attaques DDoS, c’est la répartition des services en un grand nombre de points du réseau. La technique la plus simple à mettre en place c’est l’anycast, permettant qu’un même bloc d’IP soit disponible en plusieurs endroits du réseau, à la fois pour raccourcir les distances à parcourir mais aussi et surtout pour cantonner les sources possibles d’une attaque à un nombre connu et défini de réseaux.

Mon idée du moment a déjà été réalisée par des sociétés commerciales, la plus connue étant Akamai qui distribue des contenus depuis un grand nombre de réseaux différents, sans forcément utiliser l’anycast, d’ailleurs. Il existe également quelques services exactement basés sur ce principe pour les DNS.

L’idée est de monter, sur la base du volontariat, un AS avec un préfixe aux fesses pour distribuer un service de DNS faisant autorité. Toute personne intéressée par le projet devrait monter au moins un serveur DNS, une connexion avec son propre réseau et une interconnexion de ce serveur avec le point d’échange le plus proche utilisant l’AS et le préfixe du projet pour fournir du DNS localement.

En échange, le participant pourra, à sa guise, utiliser l’ensemble du réseau DNS existant pour ses noms de domaine.

Se pose la question du petit malin qui pourrit son DNS local avec de fausses informations, il faudra donc probablement trouver une solution de vérification permanente de la cohérence des informations distribuées associé à un système de cooptations des nouveaux participants.

Le tout serait à faire porter par une ou plusieurs structures juridiques de type association, idéalement dans le plus de pays possibles.

Cette solution de DNS ne serait pas une alternative complète à l’utilisation de serveurs DNS normaux, ne serait-ce que parce qu’il est peu probable que l’ensemble des réseaux de la planète puisse y avoir accès, mais elle fournirait une redondance très correcte pour ceux qui, aujourd’hui, ont quelques soucis, comme nos amis de chez Wikileaks.

L’idée vous séduit ? Un petit tour dans la rubrique contact et on est partis !

English translation wanted !

One Comment »

  • Dodot said:

    Propose ton idée aux types de opennicproject.org ça peut les séduire :)

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


trois + = 10