Le 24 nov. 2010 à 12:35, jefsey a écrit :

> At 10:06 24/11/2010, Kavé Salamatian wrote:
>> Bonjour, 
>> > - Les cas discutés par Stéphane sont le summum du non fiable : des 
>> > accidents. Ils altèrent la fiabilité, mais a priori pas la sécurité : 
>> > c'est un accident,pas un piège à informations.
>> 
>> C'est un aspect de la chose. Il y'a deux façons d'agir sur le trafic: 
>> attirer un trafic qui ne devrait pas passer par un réseau dans ce réseau 
>> (c'est qui s'est passer avec la Chine) mais aussi interdire le transit d'un 
>> trafic alors qu'il devrait passer ce réseau (ça arrive tout les jours et 
>> c'est l'une des causes de du "digital divide").
> 
> hmmm. C'est donc là une atteinte à la neutralité du réseau ? Un bon tambour 
> de résonnance pour faire parler de BGP ?
> 
> Une autre où j'ai gagné mes "gallons" d'emm.... à l'IETF est le filtrage 
> permis pas le langtag (langue/écriture/pays) du contenu qui permet de savoir 
> quel est le trafic communautaire à surveiller, à diminuer la priorité, à 
> filtrer (RFC 4647) ou à bloquer.
> 
> Je comprends que conjugué à une "feature" de BGP décrite dans 
> http://www.privacydigest.com/2008/08/28/revealed%20internets%20biggest%20security%20hole%20bgp%20border%20gateway%20protocol
> cela permet de faire pas mal de choses ?

En effet c'est une partie importante du problème.

> 
> 
>> > - Ce dont parle Kavé ce sont des actes délibérés pour emm... qui font 
>> > semblant d'être des accidents. Mais ton information n'est pas compromise, 
>> > mais cela rend le réseau moins sur.
>> 
>> En effet. Surtout cela montre que BGP est une vaste jungle ou tout est 
>> permis.
>> 
>> > - Ce qui est aussi préoccupant est que BGP peut aussi (si je comprends 
>> > bien) être utilisé pour connaître tes données : il y a là une faille de 
>> > sécurité.
>> > 
>> > Mais il y a aussi faille de sécurité, lorsque l'acte sur BGP est utilisé à 
>> > l'extérieur du réseau, comme lorsqu'un cambrioleur coupe le courant pour 
>> > couper l'alarme avant de pénétrer chez toi.
>> > 
>> > Il y a deux façons de répondre au souci de Kavé :
>> > - comme il propose : de la régulation qui est utile contre les erreurs 
>> > involontaires et dissuade partiellement les actions de défense
>> > - comme je l'envisage : trouver une architecture où l'erreur soit plus 
>> > difficile (rendant l'attaque alors flagrante) ou dont l'impact soit plus 
>> > faible (l'attaque ne paie pas assez).
>> 
>> Je fais aussi de la recherche la dessus :-). Je suis payé pour ça .... mais 
>> aussi pour faire de l'enseignement, de l'administration, de la gestion, de 
>> la représentation, et tout ce qui pourrais remplir mes 90 heures de travail 
>> par semaine :-).
> 
> Je suis frappé par le fait que de plus en plus chacun s'accorde à décrire 
> l'internet comme un réseau distribué global truffé d'inégalités de routage et 
> de filtrage, alors que les valeurs centrales de l'IETF reposent sur la 
> décentralisation et le partage des ressources. 

L'Internet est la paradis d'Adam Smith. Aucune régulation, seul les lois du 
marché et les interactions fondés sur le bénéfices mutuel y ont lieu. On 
connait bien les critiques (et les bienfaits) du libéralisme sauvage. Ellles 
s'appliquent pour la plupart à la situation d'Internet aujourd'hui.

> 
> C'est pourquoi - outre mes 90 heures bien pleines - j'hésite depuis des 
> années à faire avancer l'interplus car je me rends compte de la nébuleuse 
> intriquée qu'il représente et l'impréparation mentale, conceptuelle, légale, 
> managériale, commerciale, politique que représente l'imbrication de milliards 
> de réseau globaux autonomes qu'introduit le concept d'interbox (c'est à dire 
> chacun ayant son propre IANA étendu). Ce n'est que le remplacement très aisé 
> de la décentralisation IETF par la "distribution" sur laquelle on s'accorde. 
> IDv6 pour le sous-adressage à la IPv6 local, le root local, et à terme une 
> nécessaire recompréhension de BGP avec des milliards d'AS ou équivalents, le 
> problème du multicast et des mobiles, et la nécessité de décider de son 
> routage. 
> 
> Comprenons bien :
> 
> (1) si je n'ai pas mon root local comment puis-je être sur que je ne tente 
> pas de résoudre en utilisant un des serveurs racine F-, I-, J-roots de Pékin
> (2) si je ne suis pas maître de ma route, comment vais-je être sûr que mes 
> datagrammes arrivent ou qu'ils n'ont pas été modifiés par des pirates sur le 
> parcours. Il est probable qu'un produit d'avenir est le circuit virtuel 
> jusqu'à un point donné du réseau (des gateways internes) qui m'assure par 
> exemple d'aller de Washington à Miami sans passer par Pékin.

> Ou des produits d'escorte comme au large de la Somalie.

 Ca existe déjà. Ca s'appelle des vpn. Ils sont largement utilisé pour contrer 
la censure.



> N'oublions pas aussi que le trafic crypté sera sans doute filtré en bien des 
> endroits.

Impossible à mettre en oeuvre de façon complète, sauf à dire qu'on n'a pas le 
droit d'interagir avec sa banque avec un minimum de sécurité.

> 
> Sans une solide adminance, c'est à dire une perspective à long terme acceptée 
> de tous en remplacement aux tentatives de monopole au sein de la gouvernance, 
> on va rencontrer des temps "amusants" lorsque l'Interplus se déploiera.

Ils sont déjà suffisamment "amusant".

> 
> Je rappelle mon vocabulaire : 
> 
> - desservance : la desserte en ligne (court terme/contrats), gouvernance : 
> les coalitions dynamiques et coopérations renforcées (moyen terme/lois), 
> adminance : l'administration de ce qui est admis de concert (long 
> terme/constitution).
> - Interplus est une approche un peu plus structurée de la capacitation 
> numérique de chacun qui n'est qu'un concept d'adminance (la manière dont je 
> construis mon environnement internet à long terme pour être pleinement 
> interopérationnel avec d'autres), mais la base est une utilisation non 
> modifiée ou très peu adaptée des outils réseau. Ces outils sont seulement 
> lus, admis et utilisés dans le contexte d'une systémique généralisée 
> (documentée dans mon appel à l'IAB) où l'univers est divisé pour chaque 
> système en quatre grandes régions découplables : l'endotème (le système 
> actuel et ses imbrications), le péritème (ce qui est périphérique au 
> système), l'exotème (ce qui est extérieur au système, mais peut interagir 
> dans le passé/présent/possible) et le reste. 
> 
> Par exemple, sur mon PC, j'utilise mon root local sous Bind version Windows 
> (pas un root des racines ouvertes) qui va voir les serveurs des registres que 
> je choisis. S'il y a un DoS sur les serveurs racines, je ne suis pas affecté. 
> Si le gouvernement français avait des envies de copier Pékin, cela ne me 
> gênerait pas. Si j'allais à Pékin, je logerais probablement en tôle. Ne 
> pouvant m'atteindre par le root, le gouvernement chinois n'aurait plus que 
> BGP pour me priver d'accès aux adresses IP qu'il veut bloquer. C'est pourquoi 
> l'affaire de cette semaine est un double test: comment bloquer le trafic 
> interne chinois et des portions adverses du trafic.

C'est une bonne analyse.

A+

Kv
_______________________________________________
comptoir mailing list
[email protected]
http://cafedu.com/mailman/listinfo/comptoir_cafedu.com

Répondre à