Une tribune sensationnaliste dans le Monde le 6 mai prétendait que « Google [avait] changé l'Internet » et portait une accusation précise : le navigateur Google Chrome utiliserait une racine DNS spécifique à Google. Passons sur le fond politique de l'article, est-ce qu'au moins les faits allégués sont exacts ?
“One World, One Internet, One Namespace” is the essence for the success of today’s Internet. The top level of the unique identifier system, the DNS root system, has been operational for 25+ years. It is pivot to make the current Internet useful. So it is considered somewhat ossified for stability reasons. It is hard to test and implement new ideas evolving to a more advanced level to counter challenges like IPv6-only operation, DNSSEC key/algorithm rollover, scaling issues, etc. In order to make the test more practical, it is also necessary to involve users’ environment which is highly diversified, to study the effect of the changes in question.
To benefit the Internet development as a whole, the proposal of Yeti Project is formed to build a parallel experimental live IPv6 DNS root system to discover the limits of DNS root name service and deliver useful technical output. Possible research agenda will be explored on this testbed covering several aspects but not limited to:
IPv6-only operation
DNSSEC key rollover
Renumbering issues
Scalability issues
Multiple zone file signers
Pclight souhaite devenir, dans ces prochaines années, l’alternative coopérative pour l’aménagement numérique de l’Yonne, permettant à ceux qui le souhaitent de se prendre en main tout de suite pour obtenir une connexion très haut débit sans attendre 10, 20 ans ou plus.
Après 2 ans à déployer avec succès un réseau hertzien, Pclight souhaite à présent expérimenter un réseau fibre optique.
Nous disposons des fournisseurs, technologies et compétences pour le faire, il ne manque qu’un terrain grandeur nature et les autorisations pour débuter l’expérimentation.
Nous sommes à la recherche d’une zone rurale composée majoritairement de champs agricoles et rassemblant de petits hameaux de une à 20 habitations ou zones industrielles. Dans l’idéal, cette zone se situerai entre Joigny et Brienon-sur-Armançon au nord et Toucy et Saint-Bris-le-Vineux au sud. Une zone située à proximité immédiate du réseau ferré Joigny – Saint Florentin ou d’une autoroute serait un plus.
La collectivité concernée devra soutenir l’initiative en fournissant :
Les autorisation d’implantation souterraine ou aérienne sur le domaine public
Les listings de propriétaire de parcelles devant être traversées et un soutien à la discussion avec ces propriétaires.
La communication vers les particuliers et entreprises de la zone pour aider à l’adoption du projet.
Une aide humaine et logistique (engins, techniciens, matière première, communication avec les autres gestionnaires de réseaux …)
La cible pour l’utilisateur final est la facturation de frais d’installation de l’ordre de 200 € et d’un récurrent mensuel de 30 € pour une connexion optique à 1Gbps.
Le projet sera bien entendu réalisé en étroit lien avec le réseau hertzien existant, permettant, dans de nombreux cas, de relier rapidement et en très haut débit les utilisateurs demandeurs avant de pouvoir leur amener la fibre.
http://www.pclight.fr/wp-content/uploads/2015/03/Dossier-AAP-V3.pdf
Et mon opinion personnelle à moi ? Je crains qu'il ne soit effectivement trop tard pour changer la clé de manière propre. Elle est présente en trop d'endroits qu'on ne maitrise pas. Il faudrait mettre en place un vaste programme de mise à jour des logiciels, pour s'assurer que tous mettent en œuvre le RFC 5011 proprement. Quand ce sera fait, dans dix ou vingt ans, on pourra remettre sur le tapis la question du changement (rollover) de clé.
Une solution évidente à ce filtrage est d'avoir son propre résolveur DNS, de ne plus compter sur celui du FAI. Cette solution a deux défauts, le premier est temporaire : sa mise en œuvre est encore trop complexe, comme déjà expliqué dans un de mes articles. La deuxième est moins visible : si chaque utilisateur de l'Internet a son propre résolveur DNS, ils ne partageront plus leur mémoire (leur « cache ») et la charge sur les serveurs faisant autorité s'aggravera. Pour cette raison, je prônais plutôt des systèmes comme dnssec-trigger qui installaient un résolveur local mais faisaient suivre les requêtes non résolues aux résolveurs (et donc aux caches) des FAI. C'est une solution simple et élégante (et qui permettait aussi de faire de la validation DNSSEC proprement).
Mais dnssec-trigger a une limite. Certes, avant d'utiliser les résolveurs du réseau local comme relais, il les teste pour s'assurer qu'ils transmettent les données DNSSEC correctement. Mais il ne teste pas s'ils mentent ou pas. Si le résolveur officiel du réseau local applique la censure, dnssec-trigger ne pourra plus accéder aux données (si DNSSEC est utilisé, on aura un code d'erreur, SERVFAIL, plutôt qu'une réponse mensongère comme l'adresse IP 127.0.0.1 dans l'exemple ci-dessous, mais cela ne change pas grand'chose ; DNSSEC protège contre le détournement, pas contre le déni de service qu'est la censure).
N’insistez pas, les États-Unis ne lâcheront pas le contrôle du Net. Ou plus précisément, la gestion de quelques-unes de ses fonctions essentielles, comme la gestion du fichier racine, coordonnée au sein d’institutions made in USA comme l’ICANN ou Verisign, qui (en gros) créent ou suppriment de nouveaux “.quelquechose”.