SSTIC 2013 - Observatoire de la résilience de l'internet français

Par Guillaume Valadon

L’anssi, l’afnic et des acteurs de l’internet français se sont mis en commun pour monter un projet d’analyse de mesures techniques de l’internet Français. Suivis des bonnes pratiques, rapports d’incident d’évènements de sécurité sur l’Internet Français, rapport annonymisé de l’état de santé de l’internet Français.

La résilience de l’internet c’est sa capacitée à fonctionner malgrès un incident technique, pelleteuse, mamie polonaise, erreurs techniques, attaques. L’observation s’est faite sous l’angle de BGP et de DNS appliqué à la zone française.

Dans BGP, il y a un problème récurrent, l’usurpation de préfixes, et comme la légitimité des annonce n’est pas contrôlée dans le protocole. Il est donc possible de faire du MitM avec BGP ou du déni de service. Il existe des usages illégitimes, et des usages légitimes des préfixes, nottament le blackholing pour alléger la charge sur un AS lors d’un DDoS.

20% des évènements BGP sont annormaux, et 7 d’entre eux étaient effectivement des usurpations.

à l’analyse, il s’avère qu’il existe très peu d’AS dont la panne provoquerais un effondrement de l’internet Français.

Coté DNS quasiment tout les noms de domaines ont plus d’un serveur DNS pour servir sa zone. Mais la plupart des serveurs DNS sont concentrés sur Un seul AS. donc la panne de cet AS provoque l’indisponibilité de la zone DNS en question. L’ensemble des requêtes DNS passant par l’AFNIC, il est possible d’analyser le taux de pénétration d’IPv6, qui s’avère de 10%. C’est pas beaucoup, et on ne sait pas si les piles IPv6 sont robustes.