20161023 - Attaque DDOS contre Dyn et fin de l'ICANN sous tutuelle Maison Blanche

De CAFEDU.COM
Version du 23 octobre 2016 à 15:28 par Sysop (discuter | contributions)

(diff) ← Version précédente | Voir la version courante (diff) | Version suivante → (diff)
Aller à : navigation, rechercher

At 15:13 22/10/2016, François XXXXX wrote:

La très grosse attaque contre Dyn (prestataire DNS), qui a privé des millions d'internautes à Twitter, Paypal, netflix, etc.., aurait-elle un lien avec le nouveau statut de l'ICANN ?

S'attaquer à un fournisseur DNS majeur est certes une excellente technique pour rendre inaccessible des sites par effet de bord.

Mais, cet épisode pourrait être l'occasion de pointer du doigt une supposée "vulnérabilité" du système actuel et d'ouvrir la porte à des propositions "privées" pour gérer le nommage (qui bien sûr, serait plus efficace et plus sûr)....



Ouaou ! François !

Toute notre stratégie française que nos politiques ne veulent pas considérer ... parcequ'ils sont meilleurs que les américains !


A. Les faits pour qui ne saurait pas

http://www.atlantico.fr/pepites/partie-web-mondial-paralysee-pendant-plusieurs-heures-2858891.html
http://www.atlantico.fr/decryptage/mega-panne-mondiale-internet-pourquoi-cyberattaque-actuelle-debut-daily-beast-kevin-beaumont-2859283.html

Source DYN.

https://www.dynstatus.com/


B. Se libérer de l'ICANN

Le DNS est un système DDDS de base de données distribuée. Tu trouveras une courte introduction et les liens correspondants sous https://en.wikipedia.org/wiki/Dynamic_Delegation_Discovery_System

Il pèche par l'incompréhension volontaire singulière de Pouzin par l'ICANN.

  • Louis a parlé de "réseau des réseaux" pour le catenet, c'est-à-dire l'infrastructure digitale mondiale.
  • Vint Cerf a voulu implémenter le catenet d'ARPANET, c'est à dire orienté Défense US, postérieurement connecté au public (réseau, 1984) et au commerce (utilisateurs, fin des 80),
  • tandisqu'avec Robert Tréhin nous avons implémenté le catenet mondial (interconnexion égalitaire et donc distribuée) à partir de 1977 à la suite des positions datacoms de la FCC (commission fédérale des télécoms), depuis 1972 reconsidérant les règles de péréquation tarifaire US après l'ouverture du premier service d'ISP public en février 1972 (par Tymnet, premier client : la médecine de la Marine américaine).

Donc, durant toute cette période toute la doctrine dominante a été de considérer un seul catenet à travers la fiction qu'il devait être géré par un seul nommage.

C'est ainsi que Tymnet a reçu une licence de la FCC en 1977 pour gérer le nommage mondial dont j'ai peu à peu hérité (ayant fondé la µ-assos INTLNET pour l'assurer puisqu'il était pour "tout le monde", car les parties prenantes initiales de ce "tout le monde" étaient des monopoles n'ayant pas légalement le droit de coopérer sans autorisation légale internationale - dont personne n'avait imaginé la pleine nature réelle [c'est toujours le cas, cf. vote contre les USA et la NSA lors du renouvellement du traité international des télécoms].

Ceci signifie que le catenet réel (celui de Pouzin) a été traité comme un catenet unifié par le seul TCP/IP (les commutateurs ne connaissent que les formats IP et le seul plan d'adressage IP). Par "simplification" politique, après le trauma de la RFC 923 qui ouvrait l'internet de Cerf à tout hacker du catenet une fois que Tymnet a intégré TCP/IP à son catalogue :

  1. Tymnet a été racheté par le militaro-industriel [McDD] et son monopole multitechnologie (ce que visait Cerf avec son "internetting") a peu à peu été débandé au profit de la bande à Posix, et vendu à BT puis plus tard au WUI de ... Cerf.
  2. j'ai été viré qui intégrais l'adressage comme une partie du nommage documenté par un fichier commun : l'INTLFILE
  3. Doug Engelbart aussi qui poursuivait une intégration allant au niveau de l'adressage sémantique
  4. on s'est mis à patauger à l'IETF (créée pour reprendre la suite technique ) sur ENUM, c'est à dire l'intégration de l'adressage téléphonique
  5. le "réseau des réseaux" est passé du catenet à l'internet !!! alors qu'au niveau transport et intelligence on doit parler de "réseaux des r#éseaux" (ce qu'a fait Bush en parlant d'"internets" ce qui a fait rire tout le monde d'alors [sans doute jaune quelques-uns, des fois que les europées et les BRICS le prenne pour un fois au sérieux !]. Au départ tout le monde parlait des "nets"]).

En 1998, la solidification de l'unicité adressage-nommage a été consolidée par la création de l'ICANN sous protectorat politique NTIA, avec intox sur le "root unique" dans une technologie installée à dizaines de millions d'exemplaires qui en supporte près de ... 36.000.

De cette façon, la classe uniquement utilisée (classe "IN") est devenue un single point of failure du catenet qu'elle a circonvenu à son compte.

  1. la première réponse (facile à déployer) a été anti-ICANN : des TLDs supplémentaires dans le root ICANN du NTIA (suite de l'approche INTLFILE), refus.
  2. on a donc vu une réponse réclamant un deuxième système de serveurs racine : contre le NTIA. Comme l'argent venait de la taxe ICANN ce n'était pas bon.
  3. on a alors vu les plug-ins (iDNS et new-net) : ils aiguillent les demandes vers le root ICANN ou un root auxiliaire chinois, russe, israélien ou new-net.
  4. toujours dans cette veine (contrôle par le NTIA) j'ai politiquement prévenu - après la RFC 6852 - du projet d'une concentration de ces plug-ins comme un plug-in MyCANN paramétrable par chacun. ...

C. Le BUG américain

... tandisque, je faisais appel de cette RFC (deux fois en fait). Et lançait l'étude d'un projet "MYROOT" (chacun ayant son propre Root). La seule solution correcte pour l'architecture DDDS : ils cengtralisent une architecture dont le résillience est d'être distribuée !!!

Pourquoi ? Parce que la RFC 6852 qui reprend la déclaration "Open Stand" du 29 août 2012 correspond à une reprise en main de 40 ans de politique américaine face à la réalité des résultats financiers, du déploiement, des architectures, du multilinguisme, des langages nouveaux et à l'état d'un monde fortement cybernisé. Elle fait passer la digitalité d'un protectorat du NTIA à (espèrent-ils) un continent numérique colonisé par le droit américain - sous condition que l'unité "catenet/internet" par l'adressage et le nommage se poursuive sous la pression d'une demande du marché pour un seul package, celui de la "communauté globale internet de l'ICANN". Ce que compromet les attaques de vendredi. Mais ce sera Intox+MM$ contre vérité et pas un rond.

Le concept de "communauté globale" correspond stratégiquement à ce que j'appelle un "VGN" (virtual glocal network, votre utilisation mondiale du catenet selon vos besoins locaux). C'est lr projet initial de Vint Cerf, mais ils ne veulent qu'un VGN : le leur. Cela reprend un fondamental des réseaux qui est passé à la trappe avec le classe six présentation dans l'architecture restée prototype de l'IETF. En CCITT cela s'appelle les "closed user groups" (CUG) et en Tymnet cela se construit de façon très souple et modulaire : les accès utilisateurs sont répartis en classe d'accès et les serveurs en groupes de hosts (une adresse pouvant être dans une classe et un groupe). En jouant sur les classes et les groupes, on construit tous les réseaux virtuels ouverts ou fermés que l'on veut. L'argument contre une protection par réseaux sécurisé est la "neutralité" (qui n'a rien de neutre), la "émocratie", etc.

L'ennui est que si la RFC 6852 introduit bien le concept de grandes UG sous le nom de "communauté sglobales" en disant que c'est un"bienfait pour l'humanité" (ce qui est sans doute vrai) :

  1. la politique américaine n'en voulait qu'une (celle de l'ICANN). Pour la consolider, elle lui a fait accaparer toutes les ***adresses*** IP, en y incluant les RIR placés sous contrôle ICANN., et impresionner le monde en y joignant l'IETF.
  2. j'ai donc dû annoncer urbi-et-orbi (et en particulier dans mon second appel copié au NTIA) que j'allais créer une de ces communautés, expliquant que ce n'était pas le nombre qui la justifiait, mais la pertinence. L'expériementation de la résolution du BUG architectural américain.

Ce "BUG" est ce qui doit être fait/imposé pour que leur internet marche.Pour cela les US doivent agir comme "Being Unilaterally Global". Un unique plan d'adressage global, un unique système de nommage global. Plus possible : nous sommes deux communautés. Aussi légitime l'une que l'autre aux yeux de lauer RFC 6852.

Ma position est assez solitaire, mais tient la route, car cette communauté, "XLIB.RE" comme chacun ici le sait, fonde sa légitimité sur une nécessité technique énoncée par l'ICANN (document de politique permanente ICP-3) : la nécessité de l'expérimentation. J'avais expérimenté après le 11 septembre le banc-test communautaire "dot.root" pour la solution open-root. Il s'agit maintenant d'expérimenter la capacité "open-classes" du DNS.

Depuis le 1er octobre, nous sommes rentrés en configuration "multistakeholders". Pour les Yankees ces stakeholders sont des leaders/activistes de la communauté ICANNienne. Pour la réalité ce sont les leaders des VGN et de leur comités techniques et légaux.

C'est pourquoi j'ai :

  1. annoncé la couleur en tant que stakeholder au niveau d'une communauté globale "OpenStand" c'est-à-dire souveraine, d'égal à égal avec l'ICANN.
  2. ouvert le site IANA.NZ pour les nouvelles zones de nommage/adressage où j'ai listé tous ceux que je connaissais : https://en.wikipedia.org/wiki/Dynamic_Delegation_Discovery_System
  3. traité de "pair à pair" en ***réponse à une demande de coordination*** de la part du responsable architectural de la communauté ICANN (chair IAB) (mails copiés au comptoir)
  4. proposé que les problèmes de coopération que nous pourrions avoir (la résolution des conflits inter global communities n'est pas traitée dans la RFC 6852, c'est cela qui a conditionné mes appels) une résolution qui nous soit supérieure par la ***multitude*** des utilisateurs (LA communauté "@large" pour laquelle j'ai créé une association en 2003 et me suis assuré du nom de domaine http://atlarge.org).

NB. J'ai vraiement l'impression que ce n'est pas à un citoyen isolé de (mal ?) faire ces choses là (et peut-être se tromper). Mais s'il en est pour se réunir au frais de la princesse, il semble qu'il y en ait peut pour contrer les attaques internationales sur l'interêt commun. Que ce soit du côté du domaine régalien, du secteur privé ou de la société civile. Je me sers de ma légitimité civile non coordonnée (avec qui ????)


D. Notre stratégie

L'étape suivante est la mise en place de la "galaxlib", c'est à dire de la galaxie de serveurs DDDS xlibres, la déployer pour multiplier les possibles points of failure (et multiplier la difficulté des attaques) en multipliant les services de résolution en multipliant les classes. Avec "n" classes, pour les bloquer toutes il faut "n" attaque DDoS. Avec 5 ou 6 serveurs DNS par classe, à 6 euro par mois.

Personne ne faisant rien, ceci est vital pour la planète. Autant qu'un météore qui nous foncerait dessus. Ici c'est un DDoS sur le continent numérique. Et que la fagilité du continent et la force du météore va grandement augmenter avec l'idonet.


Comprenons, le directeur technique de DYN qui a été attaqué est Andrew Sullivan, le Chair de l'IAB. Celui qui devrait résoudre le problème depuis 15 ans et ne l'a pas pu dans le contexte IETF et maintenant IAB.

  • Son problème aujourd'hui est qu'il n'a qu'une seule classe DNS, celle de l'ICANN et que pour l'utiliser les gens n'ont que des navigateurs à une classe
  • le notre est que nous n'en avons pas encore la seconde en back-up et des sockets et pas encore de cateboxes multi-classes.

Là tu connais les problèmes :

  1. problème de configuration/dockerisation, d'outils de documentation, de choix de logiques existantes initiales (ou de développeurs interlibres - ils sont tous dans les logiciels et pas encore dans les intergiciels), de support, etc.
  2. problème de mobilisation des utilisateurs en les associant à la protection de leur VGN local (bliks et services locaux)
  3. financement pour payer les noms de domaine ICANN pour l'instant, les hébergements et amorcer le budget d'autofinancement des opérations/

Sur le premier point nous aurions besoin d'aide de développeurs C, erlang, pour nous aider un peu, PHP et Python ? pour documenter les codes logiciels libres existants dans une vision intergiciel interlibre, et de juristes pour nous aider en termes de droit complexe (l'interligence - les interliens distants et temporels - posant nombre de problèmes nouveaux et une licence DECLIC pour les développement et exploitation en coop Libre, industriel, collectivités);

Sur le troisième point, nous avons une idée de service réseau utile dont le revenu irait au développement interlibre. Mais il faut que l'on puisse s'y mettre (on ne peut pas être au four et au moulin et à s'occuper de survivre soi-même). Tout informaticien région Montpellier (pour du pair à pair face à face) bien venu.

Autrement que peut-on espérer d'autre ?

  • Défense française : pas au courant du problème
  • Armée française : dans les pattes de l'incompétence américaine (on l'a vu à l'oeuvre vendredi)
  • Gendarmerie : pourrait peut-être avoir un ou deux ingénieurs sur Ubuntu et un général (retraité ?) qui a refusé M$
  • USA : ils vont confier une mission au Congrès pour décider de lois qui vont aller dans le sens "leur business"; après avoir trompé le temps.

AMHA une attaque de cette envergure est signée BRICS et n'est qu'une répétition avant le 8 novembre.


E. Note un peu énervée

Si le fistot Arnaud Coustillière - même en ne comprenant pas plus ce qui se passe - nous allouait 100 ou 200.000 euro pour nous défendre, ou si les caciques pontifieux qui ont décidé de ce que ferait au maximum l'ennemi qu'ils ignorent, lui donnait l'ordre de protéger la France et pas seulement les bureaux des Etat-Majors  !!!

Au premier cyberchartaclan on les verra rappliquer avec des "si j'avais su". J'ai fais des réunions sur cela chez Rénater, au Ministère de la Recherche, tenté de pénétrer les copains du "GonEnBalade" ... en 2002.

SOS pour la France !


jfc

Récupérée de « http://cafedu.com/index.php?title=20161023_-_Attaque_DDOS_contre_Dyn_et_fin_de_l%27ICANN_sous_tutuelle_Maison_Blanche&oldid=360 »