> Stephane Bortzmeyer a écrit: > Quelles sont les chances d'adoption de RPKI+ROA, sachant > que d'innombrables protocoles de sécurité de l'IETF ont > été peu ou pas déployés (IPsec, PGP, etc) ?
Zat is ze question.... > Tout le monde dit en effet vouloir davantage de sécurité mais, > en pratique, personne ne veut en payer le prix. En voyant la chose d'assez loin (vérité dans la pub: je n'ai pas encore lu les 14 RFC et je n'ai pas encore fait le lab) et même si finalement tout en revient à l'argent, je pense que l'on n'en est pas encore à ce point là et que dans l'état actuel des choses les obstacles principaux sont plutôt: - De faire suffisamment de bruit pour que les intéressés regardent de plus près. Je trouve que ce que tu as écrit à propos de l'attaque de 2008 est pile poil sur le sujet: > http://www.bortzmeyer.org/faille-bgp-2008.html > Notons d'abord la mise en scène. Comme le disait un participant > de Nanog : « I think they saw the DNS people getting their 10 > minutes of fame and wanted their own :) ». La sécurité > informatique est un métier, comme le show-business : il faut > faire parler de soi. Ce n'est pas par hasard que les exposés à > Defcon commencent toujours par « cette faille est particulièrement > sérieuse ». On n'a jamais vu un chercheur en sécurité débuter > avec « C'est une petite vulnérabilité sans intérêt. ». Prendre > conscience de cela aide à mettre cette annonce dans son contexte. - De convaincre les opérateurs que le remède n'est pas pire que la maladie. Un échantillon ci-dessous. Faut être réaliste, c'est une usine à gaz. Une bonne partie des problèmes récents étant dus à des erreurs sans but malicieux, il est permis de se demander si l'usine à gaz (juste par la compléxité rajoutée) ne va pas générer plus d'erreurs que celles qu'elle est supposée résoudre. Est-ce que ce système n'ouvre pas la porte à un nouveau modèle de joe-job? Un autre problème potentiel est: ce genre de système a une tendance à générer des quantités considérables d'"évènements". J'ai bien peur que ça ne finisse comme les logs de firewall: Il y a tellement de volume que personne ne les regarde. Il y a aussi un problème de compétence. Combien y a-t-il parmi les lecteurs de cette liste qui, disons dans les 2 mois, vont lire les 14 RFC en question et qui sont capables de comprendre le machin dans son ensemble? Et le problème associé: si un préfixe légitime est bloqué à cause d'une configuration incorrecte ou imprécise ou d'un bug, qui va faire le troubleshooting ? Plus la plomberie est compliquée, plus elle est facile à boucher. S'il faut 14 RFC pour décrire la chose, il va falloir combien d'étapes, d'outils, et de temps pour trouver quel est le composant qui bloque un préfixe ? Que se passe-t-il quand le client final qui se retrouve bloqué parle à son FAI qui n'y comprend rien ? A noter que je ne démolis pas le système même si ce que je viens d'écrire pourrait en avoir l'apparence. C'est quelque chose qu'il va falloir regarder d'assez près avant de prendre la décision d'implémenter ou pas. Y'a qu'à. Faut qu'on. 14 RFC d'un seul coup, un samedi ensoleillé à l'heure de l'apéro, c'est un peu raide ceci dit. Tout à fait sérieusement, l'ennemi principal de ce système c'est "pas assez urgent". Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/