Monthly Archives: October 2016

Cyberapocalypse, cyberchaos et réels impacts.

Posted by Fred on October 27, 2016
internet / No Comments

L’internet tel qu’on le connait est basé sur la résilience et le partage. L’ouverture, la facilité d’usage et une utilisation qui pénètre désormais tous nos objets, toutes les couches de la société.

Qui ne s’est pas extasié de pouvoir ouvrir ses volets à distance ? Allumer son chauffage avant de rentrer chez soi ? Se connecter à un wifi gratuit sans avoir à donner son adresse ? Génial non ?

Est-on arrivé au jour où l’on devra choisir de réguler cela ? En effet, ces douze derniers mois, le nombre d’attaques cyber et d’actes de malveillance a fortement augmenté. En flèche. Entre le crime organisé, les organisations terroristes, les états ou les geeks en mal de sensations, les sources de troubles sont multiples.

Leurs buts sont différents, mais ils peuvent tous compter sur une multitude de relais, entre les ordinateurs (celui de ma mère qui ne voit pas l’intérêt des mises à jour ?) ou les objets connectés (mais à qui on a oublié de changer le mot de passe 1234) . Ces relais, à l’insu de leurs propriétaires, sont utilisés pour organiser des attaques que l’on appelle dénis de service (DOS, et DDOS pour DOS Distribué, aka une attaque de la part de plusieurs foyers). Elles visent à submerger un service, une infrastructure pour la rendre indisponible sur internet, et la faire éventuellement céder pour ensuite la contrôler. Un peu comme lorsque vous êtes refoulés en boite de nuit tout seul et que vous revenez à 25 pour passer en force. Vous serez entrés, mais pas les bienvenus.

L’une de ces attaques a paralysé une partie de l’internet US la semaine dernière (il faut dire que l’attaque était intense et forte), SafeBrands, ma société en essuie plusieurs par semaine, en général sans dommage (mais parfois avec dommage), tous les hébergeurs vivent avec ce risque au dessus de leur tête : une attaque plus grosse que d’habitude qui les fera tomber. Quelle que soit la taille, ici on est dans un modèle physique : si mon attaque est plus grosse que ta capacité, tu tomberas.

Je préfèrerais largement que mes équipes passent leur temps à travailler sur le super projet Bidule ou notre nouveau produit Kitu, mais non, elles arrivent fatiguées par la lutte dès le début de la semaine. Il me faudrait une plus grande équipe. Pour entrer dans la course à l’armement. Toujours plus. Mais pourquoi ?

A noter quand même qu’il existe des solutions, des éditeurs qui proposent des outils pour lutter contre ce type de problèmes. Hasard ? J’ai été contacté la semaine avant notre plus gros DDOS. Qui pousse qui ? Les agences de sécurité ont de beaux jours devant elles.

Ne serait il pas plus simple de faire baisser le nombre de ces attaques ? De lutter contre le mal ? Cela voudrait dire mieux sécuriser et identifier qui utilise quoi.  Adieu proxies anonymes pour regarder Netflix, adieu mails jetables pour discuter en secret. Adieu neutralité du net ? Si on ne favorisait que les flux ‘authentifiés’ (c’est à dire le trafic qui vient de sources ‘propres’ – et qui décide qui est propre ?)  on aurait plus la paix ?

Peut être. Mais franchement, cela pourrait poser d’autres problèmes. Un jour, j’ai été en Chine. Et je n’avais pas accès à Facebook pour montrer les spécialités que je dégustais (essentiel pour la vie du monde) pourtant je ne faisais rien de mal. C’est de la censure. L’état d’urgence de l’internet doit-il être proclamé ? Peut on dire que des gens mal intentionnés veulent tester les limites et les points faibles d’internet pour préparer un Grand cyber-soir ?

Aucune certitude, et un équilibre bien dur à maintenir. C’est le challenge des hébergeurs, fournisseurs d’accès, registrars, registres, qui doivent fournir un service 24/7 à des prix toujours plus bas, pour tous les utilisateurs.

On passe un permis pour conduire une voiture. Ma fille utilise un pc ou une tablette depuis qu’elle a  trois ans, et on vante juste l’ergonomie de l’outil.

Alors finalement, si on reprenait les campagnes de la sécurité routière ? La cyber sécurité c’est un peu l’affaire de tous ?

Changer son mot de passe systématiquement, nettoyer et entretenir son PC, son wordpress, ses outils, c’est comme fermer à clé : faisons le tous.

De notre côté, on s’occupe de pousser les tuyaux, doper les Admins, et trouver des bons compromis pour chacun.

Dormez tranquille. Ou pas.

 

L’internet est enfin vraiment global … (ou pas)

Posted by Fred on October 13, 2016
Uncategorized / No Comments

Le monde ne s’est pas arrêté.
Internet fonctionne encore et personne n’a rien vu.

C’est justement parce que le travail en amont a bien été préparé et aussi parce qu’internet est résilient. Il a une capacité de résistance à tout qui s’affirme au fil du temps, techniquement, par la multiplication des câbles, des fibres et des matériaux redondants.

Il a passé une étape le 30 septembre en termes administratifs. Nous en avions déjà évoqué la genèse, dans ces colonnes, il y a 3 ans. Le gouvernement américain, qui gardait la main sur une des fonctions de l’Icann a décidé, si on lui proposait une solution de remplacement fiable, non-dépendante d’un autre état, de se retirer de la fonction IANA.

En début d’année à Marrakech, la communauté Icann a finalisé sa proposition, l’a envoyée au gouvernement américain, qui a débattu, évalué, et a accepté le fonctionnement proposé. Un ensemble de structures multi acteurs qui se contrôlent et se complètent va désormais gérer l’internet et notamment le contrôle de l’activation des nouvelles extensions (c’est ce que Iana fait, et le gouvernement américain avait un rôle de ‘notaire / validateur’ lors des validations).

Les états resteront représentés, et auront bien sur un poids dans les décisions de l’Icann, mais aucun état ne pourra s’y imposer. De même, les entreprises auront voix au chapitre, ce qui inquiétait d’ailleurs notre ministre du numérique, lorsqu’elle parlait de la privatisation e l’internet. Les registrars et registres auront je l’espère aussi leur mot à dire, après tout, ils sont le collecteur de taxe pour l’Icann auprès des utilisateurs.

Le fonctionnement va désormais passer l’épreuve du feu. Et l’on pourra tester dans les prochains mois si tous les cas étaient prévus. A titre égoïste, nous pouvons aussi savourer le fait que Mathieu Weil, le Directeur Général de l’Afnic, qui a co-présidé une partie des travaux va désormais pouvoir à nouveau se consacrer pleinement à la gestion de l’Afnic (en pleine période d’appel d’offres). Derrière lui, ce sont également des dizaines de personnes qui ont œuvré dans l’ombre, pour ce que la communauté internet a de plus positif : créer un nouveau système de gestion collective.

Ne tombons pas dans l’utopie béate, mais savourons ce dépoussiérage, le fait que l’Internet ne sera pas géré par l’ONU (histoire de lui garder un rythme de marche en phase avec la technologie) et également que les quelques sénateurs américains qui ont essayé de faire capoter la Transition aient échoué à se montrer crédibles lorsqu’ils annonçaient que l’internet libre devait rester sous contrôle américain.

World Company ou collectif coopératif?

Icann, surprends nous.