l'Internet des objets nécessite-t-il un autre système DNS ?

Avec l'Internet des Objets, la place du système de nommage DNS et la maîtrise des noms de domaine devraient prendre une place encore plus importante. Quels sont les enjeux ? Quelle place pour des systèmes alternatifs comme la "Racine ouverte" ? Ce sont les questions que j'ai posées à Gérard PELIKS, Président de l'atelier sécurité de Forum ATENA.


Voir la vidéo sur Dailymotion
 

petit rappel : le système DNS, un annuaire géant

Sur Internet, les systèmes communiquent entre eux via des adresses IP (une adresse IP se présente sous la forme de 4 blocs de chiffres, par exemple  [94.124.133.192]). Ces adresses IP sont utilisées par des routeurs pour permettre à deux systèmes distants de communiquer entre eux. Comme les adresses IP numériques sont peu reconnaissables par les utilisateurs, un système de nommage plus pratique a été mise en place. C’est le système DNS (Domaine Name System).

Le système DNS permet de faire la conversion d'un nom ( par exemple www.orange.com) vers son adresse IP numérique (94.124.133.192). C’est une sorte de grand annuaire, avec la particularité d’être distribué. Cela signifie que certains serveurs DNS traitent les demandes concernant les domaines en« .com »,  d’autres en« .fr », etc.

Les noms de domaine, comme orange.com ou orange.fr, sont créés au sein de TLD (Top-Level-Domain). 

Exemple : orange-business.com.

  1. Les serveurs de la Racine donnent les adresses IP de l'annuaire en charge de ".com"
  2. Les serveurs DNS autoritaires sur le TLD ".com" donnent les adresses IP des serveurs DNS autoritaires sur "orange-business.com"
  3. Les serveurs DNS autoritaires sur "orange-business.com" donnent l'adresse IP du site "www" présent dans la zone "orange-business.com"


Il y a 13 serveurs DNS « roots » (racines en anglais) dans le monde. Certains permettent d’identifier les serveurs DNS capables de traiter les requêtes se terminant par «.com » et d’autres pour les requêtes en « .fr ».

contrôler la Racine DNS, c’est avoir une emprise sur l’Internet

Actuellement, le système DNS communément utilisé sur Internet est géré par l'ICANN (Internet Corporation for Assigned Names and Numbers). L’ICANN est l’institution qui attribue les « TLD » (Top-Level  Domain : .fr, .com, …) et fait en sorte que les services DNS « racine » soient opérationnels.

Avoir une emprise sur la Racine permet de contrôler tout l'espace de nommage et donc, indirectement,  l'établissement des communications entre systèmes sur Internet (même si ceux-ci  peuvent toujours communiquer en utilisant directement les adresses IP numériques).

l’ICANN a donc le pouvoir de déconnecter d’Internet des pans entiers de machines qui deviendraient accessibles uniquement depuis leur adresse IP numérique. Ceci simplement en retirant les entrées « TLD » des serveurs racines. Bien qu’une telle action soit peu vraisemblable, cela pose certaines questions de souveraineté et de dépendance vis-à-vis des gouvernements.

La 51ième réunion de l’ICANN a lieu actuellement à Los Angeles (USA) jusqu’au 16 octobre. Le sujet est donc d’actualité puisque la gestion des fonctions de l'ICANN sera ; à terme ;  transférée à une communauté internationale multipartite et non à une quelconque seule organisation

Outre le fait que ce transfert de gouvernance de l’ICANN sera sujet à une acceptation préalable des Etats-Unis, on ne sait encore sur quoi cela débouchera.

L’un des risques de ce changement est de voir une trop forte représentation de grands acteurs industriels ou encore une sous-représentativité de pays émergeants de l’Internet. D’un autre côté, le choix d’un modèle de gestion réparti pourrait aussi susciter plus de consensus entre acteurs ayant des objectifs divergents, et donc ralentir les prises de décisions.

la « Racine ouverte » un point de passage obligé pour l’Internet des Objets

Sur la question de la dépendance vis-à-vis de l’ICANN, l’alternative réside peut-être dans la "Racine ouverte" qui permet d’opérer un espace de nommage parallèle mais compatible. Au sein d’une « racine », des règles spécifiques pourraient être définies et gérées par les états, des sociétés privées ou encore des organisations non-gouvernementales.

L’écosystème de l’Internet des Objets est encore à ses débuts. Il est donc encore possible de choisir une alternative à la Racine unique de l’ICANN. Car plus les objets connectés seront nombreux, plus difficile sera le passage à une « racine ouverte ».

La récente annonce par Google du projet « Physical web » (qui a pour objet d’attribuer une URL unique à chaque objet) illustre bien l’enjeu de l’identification des objets connectés. De fait, l’Identification par le nom est bien une étape clé. Voici un exemple de nommage.

pour aller plus loin sur les racines alternatives

Pour plus d'informations sur ce concept de "Racine Ouverte", je vous invite à consulter le site "Open-root.eu" ou encore la page Wikipedia "Alternative DNS Root". C’est un sujet assez méconnu mais particulièrement intéressant. J’y reviendrai donc dans un prochain article.

A bientôt !

Jean-François (Jeff) Audenard

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens