Spontanément, on peut penser qu’Internet est un bien commun, totalement décentralisé. Dans les faits, ce n’est pas le cas : son principal régulateur, l’Icann (Internet Corporation for Assigned Names and Numbers), est sous la férule des Etats-Unis d’Amérique. Une partie du cadre juridique qui lie les deux entités a pourtant évolué, en septembre dernier, laissant dire aux médias que la gouvernance d’Internet s’était élargie. Pourtant, il n’en est rien. Et même, à partir du 15 juillet prochain, une simple évolution technique va accroître considérablement le contrôle des Etats-Unis sur l’infrastructure d’Internet.Comment cela est-il possible ? Pour le comprendre, il faut plonger dans les méandres techniques du réseau des réseaux.Rien de plus simple que de taper l’adresse d’un site Web dans un navigateur, et de voir ledit site s’afficher au bout de quelques millièmes de secondes. Et pourtant, cette simple opération implique beaucoup d’ordinateurs disséminés un peu partout dans le monde. Internet est une sorte de téléphone géant, qui permet aux ordinateurs connectés de dialoguer entre eux. Comme pour une communication téléphonique, les différents interlocuteurs (votre ordinateur et celui contenant le site) sont identifiés par des numéros, leur adresse IP (Internet Protocol). Il s’agit de quatre séries de chiffres allant de 0 à 255, séparées par des points. Par exemple, pour afficher la page Google France, votre navigateur contacte l’adresse IP 72.14.209.104. Un système de correspondance entre les adresses IP numériques et les adresses écrites en toutes lettres a été mis au point. Ainsi, à votre niveau, il suffit d’entrer l’adresse www.google.fr.Afin que les ordinateurs connectés comprennent à quelle adresse IP correspond une adresse textuelle, des annuaires géants ont été constitués. Ils sont stockés sur des serveurs. A chaque fois que l’on cherche à ouvrir un site, l’ordinateur se connecte à l’un des annuaires pour lui demander l’adresse IP du site. Il s’agit du système de noms de domaine ou DNS, mis au point en 1983 et qui fonctionne ainsi : les adresses Internet doivent être lues à l’envers, de droite à gauche. Pour savoir à quelle adresse IP correspond www.google.fr, il faut d’abord demander à un serveur dit “ racine ” s’il a connaissance d’un domaine qui s’appelle “ .fr ”. Si c’est le cas, le serveur racine renvoie vers un autre serveur dit de premier niveau, ici celui qui gère les adresses du domaine “ .fr ”. Une fois contacté, celui-ci renvoie vers le serveur qui saura localiser l’adresse google.fr… et ainsi de suite. Les serveurs DNS sont donc les indispensables aiguilleurs d’Internet.
Renforcement de la sécurité
Mais lorsqu’il a été mis en place dans les années 80, le système a été pensé pour être rapide, efficace. Et la sécurité a été oubliée. De fait, les serveurs DNS sont vulnérables et constituent des cibles pour les cybercriminels. Pour ces derniers, modifier un serveur DNS permet de fabriquer le site de phishing parfait. Par exemple, ils peuvent diriger tous les internautes qui taperont l’adresse de leur banque dans leur navigateur Web vers un faux site, copie du premier, afin de récupérer les identifiants des utilisateurs. Cette vulnérabilité des serveurs DNS est devenue dramatique en juillet 2008, lorsqu’un expert en sécurité, Dan Kaminsky, a dévoilé une faille de sécurité majeure. Des patchs ont vu le jour pour colmater cette brèche de sécurité, mais le système tout entier a montré ses limites.La solution trouvée, encore en cours de déploiement, porte un nom : DNSSec (Domain Name-System Security Extensions). Il s’agit d’un nouveau système de communication entre les serveurs DNS. Avec DNSSec, les serveurs DNS ne se font plus confiance par défaut : à toutes les informations qu’ils transmettent, ils ajoutent une signature codée. Laquelle est générée à partir d’une clé de cryptage, un petit fichier que chaque serveur conserve dans le plus grand secret. Chaque fois qu’un serveur DNS reçoit l’adresse d’un autre serveur, il vérifie que la signature est correcte. Même si les serveurs DNS sont attaqués par des pirates, il devient impossible de modifier les informations qu’ils échangent : les informations factices ne seraient pas correctement “ signées ”, puisque les pirates ne possèdent pas la clé de cryptage du serveur.Ainsi, il existe treize serveurs principaux, les serveurs dits “ racine ”, qui signent les informations renvoyant vers les serveurs DNS de premier niveau (ceux qui gèrent l’extension.com,.org,.fr, etc. ), lesquels signent les informations à destination des serveurs DNS secondaires, et ainsi de suite. Et ces treize serveurs racines sont eux-mêmes protégés par une “ super-clé ” unique. Celui qui dispose de cette super-clé peut donc contrôler tout Internet !
Sous tutelle américaine
Le gardien de la clé est l’Icann. Mais pour l’exercice de cette fonction, cette société de droit californien relève entièrement du ministère américain du Commerce ! De même, le prestataire technique choisi pour générer et conserver la fameuse clé cryptographique est la société californienne VeriSign, qui administre l’ensemble du système des serveurs DNS racine. Celle-ci tire elle-même sa mission d’un contrat passé avec ce ministère ! Concrètement, les Etats-Unis, dès lors que le système DNSSec s’appliquera aux serveurs racine, disposeront d’un droit d’accès sur tous les sites mondiaux. En cas de cyberguerre, le gouvernement américain pourra ordonner à VeriSign d’arrêter de signer, par exemple, tous les enregistrements concernant le domaine.fr. Ce qui aurait pour effet de rendre l’ensemble des sites francophones inaccessibles !Internet sera donc mis sous clé, détenue par l’administration américaine, dès cet été : le 16 juin aura lieu la première cérémonie de génération de la clé primordiale (key signing key) à Culpeper, en Virginie. Et dès le 15 juillet, le système sera rendu actif mondialement. Mais, aucune date n’est prévue pour transférer l’accord passé entre VeriSign et le gouvernement américain à une instance internationale…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
