DNS-News.fr

Pour vous abonner gratuitement à DNS News, veuillez écrire à

dnsnews-subscribe@yahoogroups.com

Editeur de DNS News depuis 1998, Loïc Damilaville travaille depuis 1997 sur les problématiques liées aux noms de domaine.

Il a fondé en 2005 le Club Noms de domaine, destiné à réunir les personnes en charge des noms de domaine au sein des grandes enteprises.

Il est auteur du Livre blanc sur la gestion des noms de domaine parrainé par l'ACSEL, l'AFNIC, l'APCE, l'APRAM, la CCIP, le CEFAC, le CIGREF, le Club de l'économie numérique, l'INPI, l'ISOC France, le MEDEF, le Ministère de l'économie, des finances et de l'emploi, et l'Union des Fabricants.

Loïc Damilaville est adjoint au directeur général de l'AFNIC.

Il mène aussi des missions de conseil auprès des grands comptes pour les assister dans l'élaboration, la mise en place et le suivi de leurs stratégies de nommage et de présence sur internet.

Contact:
loic[at]dns-news.fr
ou 01 49 73 79 06

DNSSEC et IPv6, les deux grands défis du DNS pour les années à venir ?

Au milieu d’une actualité comme toujours assez riche, c’est sans doute le début du processus de signature de la racine avec DNSSEC, initié le 27 janvier sur le serveur L géré par l’ICANN (1), qui restera l’un des moments forts de l’histoire technique de l’Internet. Ce déploiement se fera progressivement et devrait s’achever en mai prochain. Nombre de registres ont déjà communiqué sur le fait qu’ils « signent » leur zone ou se préparent à le faire, mais ils ne sont pas les seuls concernés. Ainsi d’un communiqué de l’AFNIC (2) invitant les responsables techniques réseaux à se prémunir contre d’éventuelles mauvaises surprises à compter du moment où DNSSEC sera implémenté sur tous les serveurs du système racine. Il semble, à en juger par ce qui se passe dans les pays ayant déjà déployé DNSSEC, que cette évolution majeure est peu connue, et donc peu anticipée. Les registres se font un devoir de « signer » leur zone mais l’étape ultérieure, qui intéresse plus spécifiquement les gestionnaires de serveurs DNS, ne parait pas susciter beaucoup d’engouement. Un bel exemple de cette situation est donné par les agences gouvernementales américaines, dont 80% n’auraient pas respecté l’échéance qui leur avait été fixée au 31/12/2009 pour déployer DNSSEC (le .GOV étant signé depuis plusieurs mois). Faut-il s’attendre à une inertie comparable à celle qui touche IPv6 à la grande inquiétude des spécialistes (4) ? Les attaques visant à exploiter des failles de sécurité du DNS se multiplient pourtant (5), et il est chaque jour plus dangereux de ne rien faire.
En l’absence de « carotte », on eut espérer que le « bâton » sera plus écouté. DNSSEC n’est ainsi devenu un impératif qu’après la divulgation de la Faille Kaminski durant l’été 2008. C’était auparavant une option intéressante, mais sans caractère urgent, parmi tant d’autres dans les problématiques de sécurisation du DNS. Un récent rapport de la société Arbor Networks pourrait enrichir le débat (6). S’intéressant plus particulièrement aux infrastructures du DNS, il indique que les attaques par déni de service sont les plus redoutées par les spécialistes interrogés, et met en garde – toujours sur la base de l’enquête réalisée – contre une situation à haut risque provoquée par la conjonction de la migration accélérée vers IPv6 et de l’implémentation de DNSSEC : “Any one of these changes alone would constitute a significant architectural and operational challenge for network operators; considered together, they represent the greatest and potentially most disruptive set of circumstances in the history of the Internet, given its growth in importance to worldwide communications and commerce. [...] "Today, the majority of global business networks are entirely reliant on Internet availability, stability and integrity. With the introduction of DNSSEC, IPv4 exhaustion and IPv6 deployment, these networks are facing a perfect storm: multiple, simultaneous, large-scale changes." »
Ces analyses condamnent a posteriori l’attentisme qui a prévalu chez maints opérateurs. Comment expliquer le retard pris à déployer IPv6 alors que la raréfaction des adresses IPv4 est un phénomène identifié depuis plusieurs décennies et qu’IPv6 est stabilisé depuis au moins 10 ans ? Les arguments mis en avant se drapent dans les problématiques de sécurité, tout en renvoyant implicitement à la dialectique du plombier et de l’électricien. Ici, la communauté interrogée par Arbor Networks incrimine ainsi les fabricants de routeurs et de pare-feux, qui pour leur part expliqueront sans doute qu’ils peuvent tout faire si quelqu’un est prêt à payer pour cela : “A majority of surveyed providers reported concerns over the security implications of IPv6 adoption, and the slow rate of IPv4 to IPv6 migration, or at least the parallel deployment of IPv6. As in previous years, providers complained of missing IPv6 security features in routers, firewalls and other critical network infrastructure. Other providers worried the lack of IPv6 testing and deployment experience may lead to significant Internet-wide security vulnerabilities.”
A suivre...

IDN TLDs: quand l’ICANN prouve qu’elle sait faire vite

Les modalités du processus d’évaluation des futures extensions en caractères non latins étaient à peine connues que les dossiers étaient envoyés à l’ICANN ; et les premiers candidats ont à peine eu le temps de communiquer sur leurs intentions que déjà, 4 d’entre les 16 qui se sont manifestés ont obtenu un blanc-seing de l’ICANN (7). Les heureux élus sont, sans grande surprise, le dossier égyptien (le processus ayant été annoncé à Sharm-el-Cheikh, l’ICANN aurait été malvenue de retoquer ce candidat particulier), le dossier de la Fédération de Russie, le dossier des Emirats arabes unis et celui de l’Arabie saoudite. Pas de trace à ce stade du dossier chinois, qui ne devrait pas tarder à arriver. Les quatre « lauréats » sont à présent parés pour affronter la troisième étape du processus, la Délégation, qui devrait avoir lieu dans les prochaines semaines pour permettre un lancement au printemps (selon le calendrier prévisionnel russe). Une perspective attendue avec la plus grande impatience par maints « domainers » (8).

EOI : l’heure de vérité

La période d’appel à commentaires au sujet de l’Expression of Interest envisagé par l’ICANN pour connaître les candidats aux futures extensions a pris fin le 27 janvier. Les commentaires ont été nombreux (9) et les échanges nourris, avec pas moins de 273 emails archivés en fin de période. Cette effervescence reflète bien les tensions qui existent autour de ce processus, certains messages postés par des « opposants » - essentiellement des détenteurs de marques – étant décriés avec virulence (10) par les « partisans » - essentiellement des porteurs de projets et des prestataires. L’INTA, particulièrement visée dans ces échanges, s’est défendue (11) d’avoir envoyé une « consigne de vote » à ses membres, mais avec des arguments qui ne peuvent qu’exaspérer ses adversaires : « tous nos membres n’ont pas le temps [...] de préparer une réponse détaillée, ainsi même l’expression d’un accord ou d’un désaccord peut être précieuse à l’ICANN ». Il est délicat de bloquer un processus en se déclarant pris à la gorge, et dans le même temps de ne pas s’en soucier assez pour participer positivement aux échanges. Les détenteurs de marques ont découvert à l’occasion de la « menace » représentée par les nouvelles extensions qu’ils étaient forts lorsqu’ils étaient unis ; peut-être découvriront-ils plus tard qu’ils auraient été encore plus forts en étant impliqués...

L’ICANN organise sa future supervision... seule

L’ICANN a posté le 26 décembre dernier (12) ses propositions quant au dispositif de supervision qu’elle est tenue de mettre en œuvre aux termes de l’AOC (Affirmation of Commitments) signé avec le gouvernement américain et en vigueur depuis le 1er octobre. La période de consultation sur ce document a été étendue jusqu’au 10 février (13) probablement du fait de la quasi-absence de commentaires : sept en tout et pour tout (14).
Ces propositions sont pourtant assez explosives si l’on s’y penche en détail. On nous y explique par exemple que tout doit être mis en place fin 2010 – hâte justifiée par le fait que sur ce point précis l’ICANN viole de facto l’AOC depuis le jour de son entrée en vigueur. Mais d’autres détails ne manquent pas d’intérêt, comme le budget d’environ 1 million de dollars que coûterait ce dispositif, selon le scénario retenu – la plus grande partie étant destinée à financer un consultant appelé à « guider » les membres des Review Comittees dans leurs évaluations...
Autre détail piquant, la proposition de limiter la taille des Review Comittees à « six ou sept » personnes, ce qui, une fois décomptés les membres de droit et les experts désignés par les Supporting Organizations, ne laisse plus de place aux experts « extérieurs » qui n’auraient pas été désignés par les différents corps composant l’ICANN. Signalons enfin un grand absent parmi la longue liste de thèmes que devront traiter chacun des Review Comittees : le budget. Toute à sa réoccupation de se montrer « transparente », l’ICANN a simplement « oublié » de citer la supervision de l’utilisation qu’elle fait de ses ressources dans les missions des Review Comittees...
Que reste-t-il donc de tout cela ? L’impression que le processus sera mis en place sans débats excessifs – et qu’une fois mis en place, il sera fort difficile à remettre en question. La certitude qu’il coûtera cher, tout en étant biaisé puisque les superviseurs seront « assistés » de consultants payés par l’ICANN et probablement choisis par elle. La préoccupation de voir que l’esprit de l’AOC, qui visait à une plus large ouverture de la supervision de l’ICANN, est assez volontiers trahi au profit d’un système où l’organisme sera en mesure de désigner peu ou prou la plupart de ses superviseurs. Et un doute sérieux quant à l’efficacité d’un tel dispositif, qui in fine pourrait ne pas couvrir les sujets les plus importants.
Les personnes voulant participer à l’un des Review Comittees, en tant que représentantes d’une des Supporting Organizations ou de l’un des Advisory Comittees, peuvent envoyer leurs candidatures – à l’ICANN - avant le 17 février prochain (15).

(1) DNSSEC Deployment in Root Zone of DNS Begins at ICANN
http://www.icann.org/en/announcements/announcement-27jan10-en.htm
(2) L'AFNIC invite les responsables techniques réseaux à se préparer à la signature de la racine DNS en mai 2010
http://www.afnic.fr/actu/nouvelles/240/l-afnic-invite-les-responsables-techniques-reseaux-a-se-preparer-a-la-signature-de-la-racine-dns-en-mai-2010
(3) 80% of government Web sites miss DNS security deadline
http://www.networkworld.com/news/2010/012010-dns-security-deadline-missed.html
(4) 90% of IPv4 address space used; IPv6 move looking messy
http://arstechnica.com/tech-policy/news/2010/01/90-of-ipv4-address-space-used-ipv6-move-looking-messy.ars
(5) Much Ado About Baidu
http://www.renesys.com/blog/2010/01/baidu.shtml
(6) Arbor Networks Releases Fifth Annual Infrastructure Security Report
http://www.arbornetworks.com/en/arbor-networks-releases-fifth-annual-infrastructure-security-report-2.html
(7) First IDN ccTLDs Requests Successfully Pass String Evaluation
http://www.icann.org/en/announcements/announcement-21jan10-en.htm
(8) IDNs: The Next Horizon for GeoDomain Investors
http://domainnamewire.com/2010/01/27/idns-the-next-horizon-for-geodomain-investors/
(9) Commentaires reçus par l’ICANN au sujet de l’EOI
http://forum.icann.org/lists/draft-eoi-model/
(10) Trademark Group Hijacks New TLD Comments
http://domainnamewire.com/2010/01/12/trademark-group-hijacks-new-tld-comments/
(11) INTA responds to ICANN "hijack" allegations
http://www.worldtrademarkreview.com/daily/Detail.aspx?g=522de54c-4464-4967-928e-46ff958cc542
(12) Discussion Draft: Affirmation Reviews
http://www.icann.org/en/announcements/announcement-26dec09-en.htm
(13) Discussion Draft: Affirmation Reviews — Extension of Public Comment Period
http://www.icann.org/en/announcements/announcement-2-21jan10-en.htm
(14) [affrev-draft-processes] Chronological Index
http://forum.icann.org/lists/affrev-draft-processes/
(15) Call for Applicants for the Position of Volunteer Review Team Member
http://www.icann.org/en/announcements/announcement-13jan10-en.htm

Chaque mois depuis 1998, Loïc Damilaville passe en revue l'actualité des noms de domaine et de la gouvernance de l'internet.

L'abonnement à DNS News est totalement gratuit.