Vox Internet - Programme de recherche soutenu par l'ANR

Architecture de l'internet

Louis POUZIN — 2005-06-23T22:00:00Z

L'architecture de l'internet est-elle un impératif technique, ou seulement une collection de choix parmi d'autres ? Les visées politiques ne sont-elles pas sous-jacentes dans les choix techniques ? L'innovation a-t-elle aujourd'hui fait place à la conservation ? Voilà les questions qui ont sous-tendu la séance du séminaire consacrée à ce sujet dont les utilisateurs du réseau, tout comme les régulateurs, sont bien peu éclairés.

Architecture de l'internet : principes et développement

L'internet est formé de dizaines de milliers de réseaux. Certains sont de grands réseaux de taille nationale ou continentale, tels ceux gérés par les opérateurs historiques du téléphone. D'autres sont des réseaux de proximité, dans une ville ou une entreprise. D'autres encore sont des montages privés dans une maison, une exposition, une réunion. Les technologies utilisées, les modes de gestion, les usages, sont indépendants. On pourrait donc penser qu'il n'existe pas d'architecture de l'internet en terme global.

La notion d'architecture dépend en fait du niveau de perception, selon que l'on adresse les composantes physiques, les composantes immatérielles ou bien les usages de l'internet. Alors que les composantes physiques sont géographiquement localisées, et largement indépendantes, les composantes immatérielles (adresses, noms de domaines, protocoles) constituent un ensemble assurant l'interopérabilité de tous les réseaux.

L'outil de base de l'interopérabilité est le protocole TCP-IP, un ensemble de règles permettant à deux appareils, ou applications, d'échanger des données sans perte ni duplication. Les données, quel que soit leur usage ou leur volume, sont découpées en fragments appelés paquets. Ces paquets transitent dans les réseaux selon une technique appelée datagramme. Elle consiste à transmettre les paquets de proche en proche dans les réseaux via des commutateurs (appelés aussi routeurs) sans établir au préalable un chemin à suivre. Chaque datagramme contient son adresse de destination, que les routeurs utilisent pour le transmettre vers la bonne direction. La technique du datagramme a été développée initialement en France dans le réseau Cyclades - sans être retenue à l'époque par les PTT.

Si le protocole TCP-IP permet d'échanger des données de manière fiable, il n'apporte rien de plus. Afin de proposer aux utilisateurs des services plus complets et proches de leurs besoins, d'autres protocoles ont été conçus au cours des trois décennies de la vie de l'internet. Parmi les plus connus se trouvent les protocoles de courriel (SMTP, MIME), de transfert de fichier (FTP) et de page web (HTTP). Mais il en existe des centaines d'autres pour des besoins plus spécifiques ou techniques, par exemple le transfert d'images, la vidéoconférence, la téléphonie, l'authentification des usagers et la sécurisation des transactions.

Les protocoles de l'internet sont définis par des comités techniques ouverts à toute personne parlant couramment l'anglais et disposant des ressources nécessaires pour participer à des réunions internationales. Ces comités constituent l'IETF (Internet Engineering Task Force). On peut noter que les protocoles issus de l'IETF ne sont pas habituellement validés par les organismes de normalisation internationaux comme l'ISO (International Organization for Standardization) et l'UIT (Union Internationale des Télécommunications). Du fait des conditions pratiques de participation à l'IETF, ses activités sont dominées par l'industrie étatsunienne.

Ressources communes (a) : les adresses

L'acheminement des données dans les réseaux utilise une adresse de destination. Cette adresse doit être unique dans l'ensemble des réseaux. Le protocole TCP-IP (initialement dans la version IPv4) utilise des adresses de 32 bits, soit un maximum d'environ 4 milliards d'adresses disponibles. L'allocation des adresses est effectuée par l'ICANN (Internet Corporation for Assigned Names & Numbers), un organisme étasunien contrôlé par le DOC (Department of Commerce), qui les distribue à des RIR (Regional Internet Registry), qui les distribuent à des opérateurs de réseaux, qui les distribuent à leur tour à des FAI (Fournisseur d'Accès Internet), etc.

Dans le passé, ces adresses ont été allouées sans souci d'économie aux premiers demandeurs. Aujourd'hui environ 80% des adresses allouées sont détenues par des entités basées aux Etats-Unis. Il en résulte une pénurie certaine dans le reste du monde. En Europe, un artifice technique, appelé NAT (Network Address Translation), est souvent utilisé pour pallier cette pénurie. En bref, les réseaux utilisent en interne des adresses privées et attribuent temporairement une adresse internet aux échanges avec l'extérieur du réseau. Ces arcanes techniques entraînent des surcoûts et des restrictions d'usage (l'absence de peer to peer, par exemple). Chez les opérateurs et les FAI, que la loi oblige à garder trace des communications, la restitution de ces traces devient problématique entre réseaux du fait de l'absence d'un identifiant unique.

Les pays asiatiques, Chine et Japon, particulièrement défavorisés dans la distribution initiale des adresses, ont opté pour une politique étatique volontariste : IPv6. La version 6 du protocole TCP-IP, appelée IPv6, utilise des adresses de 128 bits. Il n'y a donc pas, pour le moment, de pénurie. Ces pays développent des réseaux exclusivement IPv6, plus simples qu'avec l'option dite double pile (IPv4+IPv6). Il est donc prévisible que dans un proche futur les principaux fournisseurs de routeurs ne seront plus l'Américain CISCO, mais Chinois, Japonais, ou Taïwanais.

Ressources communes (b) : les noms de domaines

Les adresses de l'internet ne sont pas communément utilisées par les humains pour identifier le courriel d'un correspondant ou un site web, bien que ceci soit en réalité possible. Dès le début, en 1972, l'habitude a été prise de donner aux adresses des surnoms alphabétiques, en principe plus faciles à mémoriser ou à reconnaître. Pendant une dizaine d'années, ces noms désignaient directement un ordinateur serveur. La multiplication des serveurs et l'absence d'organisme de nommage devenant ingérable, un système d'annuaire, appelé DNS (Domain Name System), a été mis en service vers 1985. Il repose sur un principe strictement hiérarchique. Un annuaire mondial, appelé « racine », donne les adresses d'annuaires primaires, qui donnent les adresses d'annuaires secondaires, etc. Le nom d'un serveur est alors la concaténation des noms des annuaires de chaque niveau par lesquels il faut passer pour trouver une adresse de courriel ou site web (ex : doris.med.campus.sfo.edu, ou industrie.gouv.fr).

Chaque composante du nom est appelée domaine. edu et fr sont des domaines primaires, situés presqu'au sommet de la hiérarchie, juste en-dessous de la racine.

Toutefois, le transport des datagrammes dans les réseaux n'utilise nullement les noms de domaine, mais seulement les adresses IPv4 de 32 bits. Il est donc indispensable de remplacer un nom de domaine par une adresse pour atteindre un correspondant. C'est le rôle de l'annuaire, dit DNS, qu'utilisent systématiquement les logiciels de courriel ou de web.

Ainsi que chacun a pu le constater, il n'existe pas de nom de domaine grec, arabe, arménien, ou même français. Les seuls caractères autorisés sont les chiffres et lettres de l'alphabet anglais [1].

La création de noms de domaines primaires est exercée par l'ICANN. Les noms de domaines primaires désignant des États (comme .de, .fr, .uk) sont définis par une norme ISO. Mais leur présence dans l'annuaire nécessite l'accord du gouvernement des Etats-Unis. Lequel gouvernement peut aussi décider de supprimer dans l'annuaire le domaine d'un État, ce qui fut pour un temps le cas de l'Irak.

Ressources communes (c) : les racines et le DNS

La racine de l'annuaire est gérée par Verisign, société étatsunienne, sous contrat avec le Department of Commerce du gouvernement américain. La même société gère également l'annuaire du domaine .com, le plus gros domaine primaire en nombre de noms. Un actionnaire important de Verisign est SAIC, une des sociétés satellites du Pentagone.

Les informations de la racine sont dupliquées dans un certain nombre de serveurs- miroirs, afin de pallier les interruptions possibles du service. L'ensemble des serveurs de l'annuaire DNS est géré par une variété d'institutions sous contrat avec l'ICANN. Comme la racine, les serveurs de noms secondaires ont aussi des miroirs.

Cette panoplie de serveurs constitue un système physiquement distribué, mais qui reste néanmoins sous le contrôle central de Verisign. Il est aisé d'imaginer des procédés permettant, à l'aide du DNS, d'observer les échanges de certains utilisateurs et à l'occasion de modifier ou détourner les informations transmises. Ceci pourrait expliquer la permanence de ce système quelque peu antique ....

L'existence d'une racine centrale a toujours été présentée par l'IETF et l'ICANN comme une évidente nécessité pour le fonctionnement de l'annuaire. A contrario, on pourra pendre en compte le fait qu'un autre annuaire, celui du GSM (Global System for Mobiles), gère des utilisateurs mobiles au moins dix fois plus nombreux que les serveurs (fixes) de l'internet : il n'a pas quant à lui de racine centrale.

Architecture de l'internet : innovation et immobilisme.

Si l'on limite le périmètre de l'internet aux seuls services de base - transmission de datagrammes, de courriel, ou de fichiers - il n'apparaît aucune innovation depuis 25 ans. Le protocole IPv6 n'en est pas une, il n'est que l'amélioration d'un protocole existant. Les innovations notables relèvent de l'accroissement des performances technologiques et des nouveaux usages qu'elles amorcent, mais pas de l'innovation en architecture [2].

L'accroissement de la largeur de bande, filaire ou radio, a enclenché une cascade d'usages comme la voix sur IP, l'échange de musique, de vidéo, de films. Et ce n'est qu'un début. La restitution d'environnements en 3D, déjà classique dans les systèmes de simulation, devrait apparaître à la suite. La mobilité et l'accès ambiant (en tout lieu) s'apparentent à un phénomène sociétal, dont le déclencheur est avant tout la disponibilité de matériel radio à haute performance et faible coût (WIFI, WIMAX) [3]. La miniaturisation de capteurs en tous genres (mouvement, son, image, odeur) pourra induire des usages encore balbutiants, mais riches de potentialités aussi bénéfiques que terrifiantes.

Les nouveaux usages, comme les jeux à partenaires multiples, l'échange de musique, les objets communiquants, ne tentent même pas de s'insinuer dans le cadre des protocoles existants : ils créent leur propre architecture de protocoles, hors l'IETF, à partir de fonctions déjà disponibles dans des applications plus anciennes. C'est là un indice significatif du décalage entre les besoins perçus par une nouvelle génération et la précédente, plus soucieuse de protéger l'acquis, l'existant, et du même coup son pouvoir.

Le gel des recherches en architecture, en partie causé par l'organisation et les blocages de la standardisation, est maintenant suivi d'une expansion rapide des nouveaux usages dans un contexte darwinien plus motivé par la découverte que par la cohérence. Comme au début de l'internet, les « manips » précèdent la réflexion. Il en résulte que des pans entiers de l'internet sont restés en jachère, d'autant plus qu'ils requièrent une réflexion exigeante et génèrent une confrontation d'intérêts.

Ainsi l'internet reste un continent inconnu. À tout le moins, la connaissance de l'entité mondiale constituée de milliers de réseaux est rudimentaire. L'observation, la modélisation et la compréhension des phénomènes de trafic nécessitent un large effort de recherche, sans lequel les nouveaux services vont s'empiler de manière empirique, sans garantie de qualité.

L'internet est de surcroît mal protégé. Comme dans bien d'autres contextes, l'internet a été développé sans préoccupation de sécurité. Celle-ci est traitée a posteriori, en évitant de toucher aux fondamentaux d'une architecture ouverte, certes, mais à tous les vents. Le laxisme du contrôle d'accès et des outils de traçabilité entraîne des pratiques massivement indésirables, comme le spam. La mise en place de politiques de sécurité et de services sécurisés se heurte à l'absence de mécanismes de protection agissant au niveau du réseau, ou du fragment de réseau. Là encore, à défaut d'un sérieux programme de recherche, l'empirisme avec ses failles et ses excès deviendra la règle.

Enfin l'internet est partial. Les carences sécuritaires ne sont qu'une manifestation d'un comportement plus général. Sous divers prétextes techniques présentés comme inéluctables, l'internet véhicule une vision du monde et de la société conforme à celle qui a cours aux Etats-Unis. Les lois, les langues, les coutumes des autres pays sont des obstacles perçus comme une inadaptation à l'internet, dont le statut est proche de la « vache sacrée ». Une architecture incorporant des protections contre les intrus aurait pour effet de contrecarrer cette mystique d'une globalisation par le nivellement.

Stratégies de transition

Une première stratégie, si l'on peut dire, est le laisser-faire. Ce n'est pas dans l'air du temps. L'événement SMSI (Sommet Mondial de la Société de l'Information) a révélé que la plus grande majorité des États sont déterminés à maîtriser l'internet comme outil essentiel à leur développement. Les pays émergents, ou déjà bien émergés, cherchent à redéfinir l'organisation mondiale de la gouvernance de l'internet dans le cadre des Nations-Unies. Les pays occidentaux aimeraient aussi accroître leur influence dans les mécanismes décisionnels de la gouvernance, sans prendre nettement parti juqu'alors sur la forme organisationnelle souhaitable. Par ailleurs, ils ont pour la plupart lancé des actions nationales de promotion de l'internet (infrastructures, usages, législation).

Si des actions nationales ont naturellement leur utilité, des actions multinationales sont plus appropriées dans le domaine de la recherche, surtout si elles visent des évolutions architecturales de l'internet, qui n'ont pas tellement d'impact dans un cadre strictement national.

Un domaine d'actualité est celui des modèles économiques menacés par l'internet. Les revenus d'industries comme la téléphonie ou la musique s'évaporent quand une composante substantielle de leur chaîne de valeur tend vers zéro. L'effet peut être rapide et brutal, avec des conséquences sociales et financières coûteuses. Le problème est général et nécessite une approche multinationale [4].

Dans un domaine plus proche des technologies, le marché est demandeur de sécurité, de qualité de service, de traçabilité, de responsabilité. Au plan international, la stratégie de l'Europe ne se distingue guère du laisser-faire. Si des programmes de recherche existent, les retombées industrielles ne sont pas encore au rendez-vous. Or, le marché est déjà en quête de solutions [5]. Si l'industrie européenne ne répond pas dès maintenant, les commandes iront aux Etats-Unis, qui vont introduire leurs normes propriétaires, et les jeux seront faits.

Il se peut que l'industrie européenne de l'internet soit plus « molle » que celle du GSM ou de Galileo. Ce serait précisément une raison de la faire avancer par des contrats de systèmes pilotes réalisés en coopération avec des laboratoires de recherche qui, eux, sont d'une qualité reconnue internationalement.

Mais la stratégie européenne semble fort différente. Ces quelques exemples en témoignent :

l'EAN (European Association for Numbering) a passé en 2004 un contrat avec Verisign (cité plus haut) pour gérer les étiquettes radio (RFID) ;

La mise en place du domaine .eu, espace de confiance, ouvert au multilinguisme, aurait pu être, mais n'a pas été, une excellente occasion de démontrer l'existence d'une stratégie européenne ;

Une soixantaine d'institutions de l'UE ont passé un contrat pour un système DOI (Document Object Identifier) à une fondation britannique IDF (International DOI Foundation). IDF a été créée en 1998 pour la promotion du système DOI, qui est en fait une application particulière du système Handle, propriété d'une société étatsunienne, CNRI ;

mEDRA (Multilingual European DOI Registration Agency) est le nouveau registreur européen de DOI accrédité par IDF en juillet 2003. mEDRA est un projet promu dans le programme eContent de la Commission Européenne ;

Aux alentours de mars 2005, l'OCDE a passé à TSO un contrat de fournitures d'identifiants numériques. TSO est le plus gros éditeur britannique par le nombre de titres, et le seul fournisseur (registreur) de DOI en Grande-Bretagne.

Thèmes pour des recherches et des projets pilotes

Ceci est un sommaire de points déjà abordés supra.
• Analyse, modélisation, instrumentation du trafic internet.
• Analyse et modèles de routage dans l'internet
• Modèles de sécurité : infrastructure, trafic, accès, transactions, objets numériques.
• Pilotes d'applications d'objets communicants.
• Modèles et pilotes de schémas de traçabilité.

Il va sans dire, mais mieux en le disant, que les outils ou développements impliqués dans la liste ci-dessus doivent impérativement utiliser des systèmes ou logiciels ouverts. De plus, ils doivent être utilisables dans toutes les langues de l'Union Européenne.

Il faudra aussi examiner les questions juridiques liées à l'architecture de l'internet, mais les juristes sont les mieux placés pour y répondre.

[1] Cf supra, chapitre 1.

[2] Cf, entre autres, les travaux de Kavé Salamatian au LIP6, Université Paris VII.

[3] Cf chapitre précédent.

[4] Cf. chapitres 2 et 3 du présent rapport.

[5] Voir en annexe du rapport la contribution (inédite) « Gestion des identités et sécurité des échanges » de Louis Pouzin et Jean-Yves Gresser.

Architecture of the Internet

Louis POUZIN — 2005-06-23T22:00:00Z

Is the architecture of the Internet a technical imperative, or is it only a set of choices made among other possibilities? Are the political aims not subjacent to the technical choices? Has innovation made way for conservatism today? These are the underlying questions for the session of the seminar dedicated to this topic that network users, as well as regulators, know little about.

Architecture of the Internet: principles and development

The Internet is made up of tens of thousands of networks. Some are large networks, the size of a nation or continent, such as those that are managed by the historic telephone operators. Others are small networks, located in a city or a company. Still others are private, set up in a house, an exhibit or a meeting. The technologies used, the management modes and the uses are independent. Therefore one might think that no architecture of the Internet exists in global terms.

The notion of architecture depends in fact on the level of perception, whether we are talking about physical components, immaterial components or even the uses of the Internet. While physical components are geographically located, and largely independent, immaterial components (addresses, domain names, protocols) constitute an ensemble that ensures the interoperability of all networks.

The basic tool of interoperability is TCP-IP, a set of rules enabling two devices or applications to exchange data without loss or duplication. The data, regardless of its use or size, is cut into fragments called packets. These packets transit across the networks using a technique known as datagram. This consists in transmitting packets from one place to the next across the networks via switches (also known as routers) without predefining the path to be followed. Each datagram contains the address of its destination, which the routers use to transmit it in the right direction. The datagram technique was initially developed in the French Cyclades network - but the national operator (PTT) did not choose to use this technique at the time.

If the TCP-IP protocol enables reliable data exchange, it does not go any further. In order to offer users more complete services that better meet their needs, other protocols have been designed over the past three decades of the Internet's lifespan. Among the best known are email protocols (SMTP, MIME), file transfer protocol (FTP) and hypertext used for web pages (HTTP). However, hundreds of others exist for specific technical needs, for example, image transfer, videoconferencing, telephony, user authentication and securing transactions.

The Internet protocols are defined by technical committees open to anyone who speaks fluent English and has the necessary resources to take part in international meetings. These committees make up IETF (Internet Engineering Task Force). It can be noted that the protocols issued by IETF are not usually validated by international standardization organisms such as ISO (International Organization for Standardization) and ITU (International Telecommunications Union). Due to the practical conditions required to participate in IETF, its activities are dominated by U.S. industry.

Common resources (a): addresses

Data transit across networks uses a destination address. This address must be unique for all networks. The protocol TCP-IP (initially in the IPv4 version) uses 32-bit addresses, with a maximum of around four billion available addresses. Addresses are allocated by ICANN (Internet Corporation for Assigned Names & Numbers), a U.S. organism controlled by the DOC (Department of Commerce). ICANN distributes addresses to RIRs (Regional Internet Registries), which distribute them to network operators, which in turn distribute them to ISPs (Internet Service Providers), etc.

In the past, these addresses were allocated on a first-come, first-serve basis, without concern for rationing. Today, about 80% of all allocated addresses are held by entities based in the United States. This results in a definite shortage elsewhere in the world. In Europe, a technical artifice known as NAT (Network Address Translation) is often used to compensate for this shortage. In short, the networks use private addresses internally and assign an Internet address temporarily for exchanges outside the network. These technical workarounds lead to additional costs and restrictions on use (no peer-to-peer traffic, for instance). For carriers and ISPs, legally required to keep a record of all communications, putting together these records across networks is problematic because of the lack of a unique identifier.

The Asian countries, notably China and Japan, were especially disadvantaged when these addresses were initially allocated and have opted for a determinate state policy: IPv6. Version 6 of TCP-IP, abbreviated IPv6, uses 128-bit addresses. Therefore, there is no shortage for the moment. These countries are developing networks exclusively in IPv6, which is simpler than the so-called dual-stack protocol (implementing both IPv4 and IPv6). It is therefore likely that in the not-so-distant future, the primary manufacturers of routers will no longer be the American Cisco, but Chinese, Japanese or Taiwanese.

Common resources (b): domain names

People do not usually use IP addresses to identify the recipient of an email or a web site, although this is in fact possible. From the very beginning, in 1972, alphabetic names were given to IP addresses because they were easier (at least in theory) to memorize and recognize. For about a decade, these names designated a server directly. Once the multiplication of servers and the absence of a naming organism made this unmanageable, a directory system called DNS (Domain Name System) was put in service around 1985. It is based on a strict hierarchy. A global directory, called the "root server," lists the addresses of the primary directories, which list the addresses of the secondary directories, and so on. The full server name is therefore the concatenation of the directory names at each level that a request must be routed through to reach an email address or web site (e.g., doris.med.campus.sfo.edu, or industrie.gouv.fr). Each component of the name is called a domain. .edu and .fr are top-level domains, or TLDs, located nearly at the top of the hierarchy, just below the root.

However, datagram transmission across networks makes no use whatsoever of domain names, but only uses 32-bit IPv4 addresses. Therefore, the domain name must be replaced by an IP address to reach a correspondent. This is the role of the directory, called DNS, that web software and email software use systematically.

As anyone can see, there are no domain names in Greek, Arabic, Armenian or even French. Only the digits and letters of the English alphabet are currently authorized. [1]

Top-level domain names are created by ICANN. Country-code top-level domains (ccTLDs, including .de, .fr, .uk) are defined by an ISO norm. However, their presence in the directory requires approval from the U.S. Government. The latter can also decide to delete a ccTLD from the directory, as was once the case with Iraq.

Common resources (c): DNS roots

The root directory is managed by VeriSign, a U.S. firm under contract with the U.S. Department of Commerce. The same company also manages the .comdomain name, which is the largest TLD in terms of the number of names. One of VeriSign's important shareholders is SAIC, a Pentagon satellite company.

The information in the root directory is replicated onto a certain number of mirror servers. These are intended to compensate for any disruptions in service. All the servers of the DNS directory are managed by a variety of institutions under contract with ICANN. Like the root directory, the secondary name servers also have mirrors.

This array of servers constitutes a geographically distributed system that is nevertheless subject to central control by VeriSign. It is easy to imagine processes that, with help from the DNS, would allow certain users' exchanges to be monitored and the information therein to be modified or misappropriated. This could explain the continued existence of this somewhat antiquated system.

The existence of a central root has always been presented by IETF and ICANN as an obvious necessity for the directory to function properly. On the contrary, we could bear in mind that another directory, the GSM (Global System for Mobiles), manages almost ten times as many users as the DNS. And whereas cellular phone users are highly mobile, Internet servers are stationary. Furthermore, GSM has no central root.

Internet architecture: innovation and immobility

If we define the Internet in a limited way as only the basic services (transmitting datagrams, email or files), not a single innovation has appeared in twenty-five years. IPv6 is not an innovation, for it is only an improvement on an existing protocol. There are notable innovations linked to the increase in technological performance and to the new uses that this sparks, but no innovation in architecture. [2]

The increase in bandwidth, by wire or radio, set off a series of uses including IP telephony and swapping music, video or movies. And this is only the beginning. The reproduction of 3D environments, already commonplace in simulation systems, should appear next. Mobility and ambient access (from anywhere) resemble a societal phenomenon, triggered mostly by the availability of high-performance, low-cost radio equipment (Wi-Fi, WIMAX). [3] The miniaturization of sensors of all sorts (motion, sound, image or odor) may lead to uses that are still somewhat primitive, but rich in potential - both beneficial and frightening.

These new uses, like multiplayer gaming, music swapping and communicating objects, do not even try to cast themselves into the existing protocols: they create their own protocol architecture, outside IETF, using functions that are already available in older applications. This is a significant clue as to the lag between the needs perceived by the younger generation and the older generation, more concerned with preserving what has already been developed, what already exists, and at the same time its own power.

The freeze on architecture research, partly caused by the organization and the obstacles of standardization, is now being followed by a fast expansion in new uses within a Darwinian setting, more motivated by discovery than coherence. As at the beginning of the Internet, the doing comes before the thinking. This results in entire patches of the Internet resting fallow, especially since they require a rigorous reflection and generate conflicts of interests.

Thus the Internet remains an undiscovered country. At the very least, our knowledge of this global entity made up of thousands of networks is rudimentary. It requires a large research effort to observe, model and understand traffic phenomena. Without this effort, new services will pile up empirically, with no guarantee of quality.

Furthermore, the Internet is poorly protected. As in many other contexts, the Internet was developed without concern for security. The latter is handled after the fact by avoiding touching the foundations of an architecture that is certainly open, but overly so. The lax access controls and meager tracing tools lead to massively undesirable practices, such as spam. Security policies and secured services are hampered by the absence of protection mechanisms on the network level, or network fragment level. There again, lacking a serious research program, empiricism with all its faults and excesses will become the rule.

Lastly, the Internet is biased. The security shortfalls are only one example of a more general behavior. For diverse technical pretexts presented as unavoidable, the Internet carries a vision of the world and of society that fits with that of the United States. The laws, languages and customs of other countries are obstacles perceived as being unsuited to the Internet, which has a status close to that of the proverbial "sacred cow." An architecture that incorporated protection against intruders would have the effect of contradicting this mystique of globalization as a great leveling.

Transition strategies

One strategy, if we can call it that, is laissez-faire. This does not suit the spirit of the times. The WSIS (World Summit on the Information Society) revealed that the vast majority of States are determined to master the Internet as an essential tool for their development. Developing countries, or already-developed countries, are trying to redefine the global organization for Internet governance within the framework of the United Nations. The western countries would also like to increase their influence in the decision-making mechanisms of governance, without commenting for the time being on the desirable organizational form. Furthermore, most of them have launched national efforts to promote the Internet (infrastructures, uses, legislation).

If efforts on a national level do of course serve a purpose, multinational efforts are more appropriate in the field of research, especially if they target architectural evolutions on the Internet, as these do not have much impact from a strictly national viewpoint.

One field these days is that of economic models threatened by the Internet. The revenues of industries like the telephone or music evaporate when a substantial part of their value chain tends towards zero. The effects can be rapid and brutal, with costly social and financial consequences. This problem is general and requires a multinational approach. [4]

In a field closer to technology, the market has a demand for security, quality service, traceability and accountability. On the international level, the European strategy can hardly be distinguished from laissez-faire. If research programs exist, the industrial effects are not yet present. [5] However, the market is already in search of solutions. If European industry does not respond right away, the orders will go to the United States, American firms will introduce their proprietary norms, and the cards will be dealt.

It is possible that the European Internet industry is "softer" than that of GSM or Galileo. This would be precisely the reason to help it to move forward through pilot system contracts carried out in cooperation with research laboratories. These research laboratories already have an internationally renowned quality.

But the European strategy seems very different. The following few examples demonstrate this:

• EAN (European Association for Numbering) signed a contract with VeriSign (cited above) in 2004 to manage RFID tags;

• The deployment of the domain .eu, announced as a trusted space, open to multilingualism, could have been, but was not, an excellent opportunity to demonstrate the existence of a European strategy;

• About sixty EU institutions have signed a contract for a DOI (Document Object Identifier) system with the British foundation IDF (International DOI Foundation). IDF was founded in 1998 to promote the DOI system, which is in fact a particular application of the Handle system, owned by a U.S. company, CNRI;

• mEDRA (Multilingual European DOI Registration Agency) is the new European DOI registrar accredited by IDF in July 2003. mEDRA is a project promoted in the European Commission's eContent program;

• Sometime around March 2005, the OECD signed a contract with TSO for digital identification numbers. TSO is the largest British editor in terms of the number of titles, and is the only DOI registrar in the UK.

Themes for research and pilot projects

The following is a summary of the points already mentioned above.

• Analysis, modeling, instrumentation of Internet traffic.

• Analysis and models of Internet routing.

• Security models: infrastructure, traffic, access, transactions, digital objects.

• Pilots of applications with communicating objects.

• Models and pilots of traceability architectures.

It goes without saying - although it is better to say it - that the tools or developments in the list above absolutely must use open-source software. Furthermore, they must be usable in all the languages of the European Union.

The legal questions related to the architecture of the Internet also need to be examined, but legal specialists would be in a better position to do so.

[1] See Chapter 1 above.

[2] See, among others, the works by Kavé Salamatian at LIP6, University of Paris VII.

[3] See the preceding chapter.

[4] See Chapters 2 and 3 above.

[5] See Louis Pouzin and Jean-Yves Gresser's contribution in the Appendix.

Gouvernance Internet Adaptative - Les bases

Louis POUZIN — 2005-06-21T22:00:00Z

SITUATION ACTUELLE [1]

Un seul gouvernement décide de ce qui est bon pour lui, donc pour les autres. Cette pratique n'étant pas acceptable par le monde entier, il est prévisible que divers pays organiseront la gouvernance internet (GI) à leur manière, comme l'a déjà fait la Chine.

PRINCIPES FONDAMENTAUX

La GI doit être organisée dans un cadre conçu pour durer plus longtemps que le délai nécessaire à sa mise en place, soit au moins dix ans.

Les différences de niveau de développement, de langues, de cultures, de juridictions, de systèmes politiques, et de plus les conflits d'intérêts recourant fréquemment à des guerres, rendent inviable une structure monolithique et centralisée.

Le cadre de la GI ne peut être que multi-latéral, et fondé sur la subsidiarité.

IMPLICATIONS

L'internet mondial est constitué de millions de systèmes autonomes. La cohérence et l'interopérabilité sont assurées par l'usage de normes communes, et par la répartition ordonnée de ressources communes.

Les normes doivent être définies pour les besoins des utilisateurs du monde entier. Les structures de normalisation doivent être adaptées aux besoins régionaux et locaux. Certaines normes sont nécessaires au plan mondial, alors que d'autres devraient se limiter à des usages plus localisés.

La répartition des ressources communes immatérielles (ex. identifiants) doit être définie par des institutions internationales légitimes opérant dans le cadre des Nations Unies.

Le fonctionnement stable de l'internet doit résulter de l'interconnexion d'une multiplicité de systèmes coopérants (cas de la téléphonie), et non pas dépendre d'un système unique et centralisé (cas du DNS).

MODèLES

Par nécessité il y aura une pluralité de modèles de GI. Une matrice de scénarios a déjà été proposée [1]. La répartition des rôles entre pouvoirs publics et sociétés civile et marchande se prête à de nombreux dosages dont la composition relève de choix nationaux.

Le modèle de GI mondiale est essentiellement un système de coopération et d'inter-opérabilité entre divers modèles de GI choisis par les États membres des Nations Unies, en concertation avec les autres parties prenantes.

Une diversité excessive de modèles serait certainement trop complexe pour être efficace. Il serait désirable d'aboutir à des regroupements d'intérêts de manière à former au plus une ou deux douzaines de modèles.

ORGANISATION

Dans une première phase, et compte tenu de l'organisation des Nations Unies, un certain nombre d'États membres adoptant le même modèle constituent un domaine de GI (DGI). Il n'y a pas de raison d'introduire des contraintes de proximité géographique, qui peuvent n'avoir aucun sens dans le monde actuel.

L'organisation de la GI dans un DGI relève des États qui le constituent. Elle ne sera donc pas développée dans ce document.

Dans une deuxième phase, il serait intéressant d'explorer la création de DGI non étatiques, constitués de structures associatives, industrielles, académiques, marchandes, ou autres. Une certaine expérience est nécessaire pour assurer la coexistence de DGI étatiques ou non.

INTEROPÉRABILITÉ

L'interopérabilité technique de base, définie par de nombreux documents (RFC), est une plateforme commune nécessaire, mais restrictive et lacunaire vis à vis de nombreux besoins perçus par les utilisateurs et opérateurs. Des exemples :

usage d'alphabets autres que le sous-ensemble ASCII,

liaisons pair-à-pair,

instrumentation du trafic,

mobilité des usagers, des contenus, des éléments de réseau,

identification et authentification des partenaires,

élimination du spam,

protection contre les attaques logicielles.

La réalisation d'espaces de confiance, ainsi qu'il avait été annoncé pour le point EU, sous-entend le concept de DGI dans lequel des dispositifs techniques et juridiques peuvent être déployés pour atteindre certains objectifs.

Les aspects techniques, aussi complexes soient-ils, ne sont qu'une partie minoritaire de l'interopérabilité. D'autres aspects peu ou pas techniques sont tout aussi essentiels. Des exemples :

accords tarifaires pour les échanges et le transit de trafic,

accords juridiques concernant le spam, les contenus illicites, la publicité et la vente de produits dangereux (armes, drogues, médicaments), le vol d'information, l'usage de données personnelles, la diffamation,

surveillance de certains trafics sensibles, critères d'alarme,

coordination des interventions policières ou autres.

Ces questions ne sont pas nouvelles dans le cadre du système téléphonique, et l'expérience acquise serait très profitable à une transposition dans le cadre de la GI. De plus, la téléphonie évolue inexorablement vers la voix sur IP (VoIP), ce qui à terme rendra assez mince la distinction entre internet et téléphonie.

RESSOURCES COMMUNES

Les ressources communes de l'internet sont les suivantes :

adresses IP

noms de domaine

Seules les adresses IP sont techniquement limitées. Leur répartition au niveau mondial pourrait être confiée à l'UIT, qui répartit déjà diverses ressources communes en radio et téléphonie. Les blocs d'adressses pourraient être alloués aux DGI ou aux pays. Les deux formules ne sont pas exclusives. Cette question serait à régler entre UIT et DGI.

Les noms de domaines entrent dans deux moules : ccTLD et gTLD.

Les ccTLD (ch, fr, uk, etc.) sont les noms de domaine correspondant à des noms de pays. Ils sont définis par les Nations Unies et la norme ISO 3166. La Déclaration de Principe du SMSI attribue aux États le droit souverain de gestion de ces domaines.

Les gTLD génériques (com, edu, biz, info, etc.) sont une ressource artificiellement limitée pour des raisons mercantiles, et leur gestion est sous le contrôle de l'ICANN. Il est probablement impraticable de remettre en cause l'existant. Toutefois, les DGI peuvent introduire de nouveaux gTLD dans leur domaine, ainsi que des gTLD multi-DGI par accord mutuel.

Au niveau mondial la gestion de ce type de ressource commune ayant surtout une valeur de nom de marque, devrait être traitée dans le cadre d'une institution des Nations Unies traitant principalement de commerce.

Référence An Analysis of Internet Governance Aspects, février 2004, par Looec Damilaville & Louis Pouzin - voir http://www.itu.int/osg/spu/forum/intgov04/contributions/govern_analysis_1.4.pdf.

[1] La version anglaise (novembre 2004) est incluse en Annexe C d'un document disponible à l'adresse suivante : http://www.itu.int/council/wsis/Gen...

Adaptive Internet Governance - basics

Louis POUZIN — 2005-06-21T22:00:00Z

PRESENT SITUATION

A single government decides what is good for itself, thus for the others. As this practice is not acceptable by the entire world, it is predictable that various countries will organize the internet governance (IG) in their own way, like China already did.

FUNDAMENTAL PRINCIPLES

The IG shall be organized in a framework designed to last longer than the time frame needed to make it operational, that is a minimum of ten years.

Differences in development level, languages, cultures, jurisdictions, political systems, and morever conflicts of interests frequently resorting to wars, make unviable a monolithic and centralized structure.

The IG framework can only be multilateral, and rooted to subsidiarity.

IMPLICATIONS

The worldwide internet is composed of millions of autonomous systems. Consistency and interoperability are achieved by using common standards, and by the orderly allocation of common resources.

Standards shall be defined for the needs of users of the whole world. Standardization structures shall adjust to regional and local needs. Some standards are necessary at world level, while others should address more localized uses.

The allocation of common non material resources (e.g. identifiers) shall be defined by legitimate institutions belonging to the United Nations (UN) system.

The stable operation of the internet shall result from the interconnection of a multiplicity of autonomous cooperating systems (as is the case of telephony), and shall not depend on a unique and centralized system (as is the case of DNS).

MODELS

By necessity there will be a plurality of IG models. A matrix of scenarii has already been proposed [1]. Roles distribution between the public sector, the civil society and the private sector lends itself to a diversity of blendings pertaining to national choices.

The worldwide IG model is basically a system of cooperation and interoperability between diverse IG models chosen by UN member States, with the involvement of other stakeholders.

Excessive model diversity would certainly be too complex for being efficient. It would be desirable to achieve interests aggregation so as to make up one or two dozens models at most.

ORGANIZATION

In a first phase, and taking account of the UN organization, a certain number of member States adopting the same model constitute an IG domain (IGD). There is no reason to introduce constraints of geographical proximity, which may make no sense in the present world.

The IG organization in an IGD pertains to constituent States. Hence, it shall not be addressed in this document.

In a second phase, it would be interesting to explore the creation of stateless IGD's, composed of non profit, industrial, academic, trade, or other structures. Some experience is needed to insure the coexistence of States and stateless IGD's.

INTEROPERABILITY

Basic technical interoperability, defined by numerous documents (RFC), is a necessary common platform, but it is restrictive and lacking with regard to many needs perceived by users and operators. Some examples:

use of alphabets other than the ASCII subset,

peer-to-peer communications,

traffic instrumentation,

mobility of users, contents, network elements,

identification and authentication of partners,

spam elimination,

protection against software attacks.

The implementation of trusted domains, as it had been announced for dot EU, implies the IGD concept, in which technical and jurisdictional arrangements may be deployed to achieve specific objectives.

Technical aspects, as complex as they may be, are only a minor component of interoperability. Other aspects, which may be little or non technical, are just as essential. Some examples:

tariff agreements for user and transit traffic,

jurisdictional agreements for spam, illicit contents, advertising and sale of dangerous materials (weapons, drugs, medicine), information theft, misuse of personal data, defamation,

monitoring of some sensitive traffic, alarm criteria,

coordination of police interventions or others.

These issues are not new in the telephone system context, and acquired experience would be very helpful for transposition in the IG context. Furthermore, telephony evolves unavoidably toward voice over IP (VoIP), which in time will make rather thin a distinction between internet and telephony.

COMMON RESOURCES

Internet common resources are:

IP addresses,

domain names.

Only IP addresses are technically bounded. Their allocation at world level could be delegated to ITU, which already allocates diverse common resources for radio and telephony. Address blocks could be allocated by ITU to IGD's or to countries. These two options are not exclusive. The procedure is to be agreed between ITU and IGD's.

Domain names belong to two types: ccTLD and gTLD.

ccTLD's (ch, fr, uk, etc.) are domain names corresponding to country names. They are defined by the UN and the ISO 3166 standard. The WSIS Declaration of Principles assigns to States the sovereign right of managing these domains.

Generic gTLD's (com, edu, biz, info, etc.) are a resource artificially limited for reasons of merchandising, and their management is under ICANN control. It may be impractical to change substantially the existing status. However, IGD's can introduce new gTLD's in their domain, as well as multi-IGD gTLD's by mutual agreement.

At world level the management of this type of common resource, the value of which is essentially a brand name, should be handled in the framework of an institution in the UN system dealing primarily with commerce.

[1] An Analysis of Internet Governance Aspects, Feb. 2004, by Looec Damilaville & Louis Pouzin

http://www.itu.int/osg/spu/forum/intgov04/contributions/govern_analysis_1.4.pdf

Gestion des identités et sécurité : la problématique

Jean-Yves GRESSER, Louis POUZIN — 2005-06-20T22:00:00Z

Particuliers et entreprises doivent pouvoir échanger sur Internet de manière sûre et responsable. L'authentification est le point de passage obligé de toute sécurisation. La mise en place d'une gestion « saine » des identités et des habilitations sur l'internet est fondamentale. Cette gestion doit être de portée universelle - on parle à ce sujet « d'interopérabilité ».

Aujourd'hui quelques vendeurs « États-Uniens » verrouillent l'offre technique pour garder la maîtrise des marchés. Cette offre est très limitée et fermée. La sécurisation ne dépasse pas le périmètre interne d'une entreprise donnée ou se limite aux relations bilatérales, alors que la plupart des transactions impliquent des relations multilatérales.

Par extension, la maîtrise des éléments techniques entraîne celle des référentiels identitaires. Il n'est pas admissible que ceux-ci soient gérés par des entités « étrangères » et, au mieux, irresponsables.

À preuve, si les banques mutualisent les risques interbancaires depuis longtemps, il n'existe au monde, qu'un seul système transactionnel interentreprises qui soit assuré. Toutes les soi-disant garanties des offreurs de technologie sont encore dénuées de substance.

Les moyens de sécurisation des échanges

Le niveau de sécurisation doit être proportionné à l'importance et à la confidentialité de ces informations qui circulent. Ce domaine est encore largement sous-développé, méconnu, cloisonné, et laissé aux mains de sociétés privées qui ignorent souvent les vrais besoins et dont les intérêts peuvent se révéler étrangers à ceux des utilisateurs. Le chèque traditionnel Cet exemple, parmi bien d'autres, a pour but d'illustrer le besoin d'identités dans les échanges commerciaux.

Le chèque papier est un moyen de paiement très répandu dans beaucoup de pays. Il porte le nom et l'adresse d'une banque, un numéro, un montant (en chiffres et en lettres), une date, le nom l'adresse et la signature du tireur. On sait qu'il est possible de falsifier un chèque, de tirer un chèque volé, ou sans provision. Afin de réduire ce type d'incident, et selon les circonstances, le récepteur d'un chèque peut demander au tireur de faire la preuve de son identité en produisant une pièce à conviction avec photo et signature (ex. carte d'identité ou permis de conduire). Si le montant est élevé, on pourra demander un chèque de banque, qui apporte la preuve d'une provision bloquée. Certains de ces risques peuvent être couverts par les banques, ou par une assurance spécifique. Sinon, une suite judiciaire peut être tentée, si le jeu en vaut la chandelle. Le « chèque informatique » La transposition de ce processus dans l'internet entraîne d'autres contraintes. Le « chèque informatique » ne contient pas nécessairement tous les éléments présents dans le chèque en papier. Au minimum il contient un numéro de transaction, l'identité du compte à débiter, l'identité du tireur, l'identité du bénéficiaire, un montant, une signature (numérique) et une date. Quelles sont les preuves que ces informations sont exactes et conformes à l'intention du tireur et seront bien celles utilisées par le destinataire ? Les certificats numériques Les identités numériques doivent être « certifiées », c'est-à-dire qu'une ou plusieurs institutions (disons des « certifieurs »), agréées par les acteurs impliqués dans le processus d'échange, garantissent que ces identités sont valides. Pour ce faire, un « certifieur » fournit un « certificat » numérique contenant l'identité certifiée, ainsi que des informations sur sa propre identité, le tout étant chiffré de manière qu'il soit impossible d'en modifier le contenu sans le rendre invalide. Les services de certification Le chiffrement interdit les modifications accidentelles ou malicieuses. Mais il faut bien que les acteurs du processus soient en mesure d'exploiter les certificats. Les « certifieurs » leur fournissent donc des « clés » numériques leur permettant d'extraire d'un certificat les informations qui leur sont destinées.

Munis de ces certificats, le tireur peut alors ajouter montant, date, signature, et autres informations utiles, chiffrer l'ensemble, et le transmettre à sa banque ou à son créditeur.

On voit ainsi apparaître dans les échanges informatiques un type d'acteurs déjà actif dans d'autres domaines, les « certifieurs » (ou plus précisément autorités de certification ou d'enregistrement), qui peuvent être de statut privé ou public. Ce sont des prestataires de services, certifiés par des experts, et normalement astreints à certains critères de qualité dans l'intérêt du public. Une procédure de certification des Prestataires de Services de Certification Electronique (PSCE) a été produite par l'Administration française. Une entreprise peut mettre en place sa propre fonction de certification s'il y a une masse critique de besoins.

En plus des codes d'identification, un certificat numérique peut renfermer des « attributs de qualité ». Ces attributs vont pouvoir renseigner sur le « niveau de confiance » que l'on peut accorder au « certifieur ». Ce niveau peut varier selon l'organisation mise en place, les outils de production. Un attribut peut aussi caractériser :

la robustesse du processus de production des clés et celle des clés elles-mêmes. Il peut être interprété comme une indication de la difficulté à décrypter ou à falsifier le certificat ;

les habilitations, limites de responsabilité ou d'action accordées par l'émetteur (par ex. au nom de la direction du personnel d'une entreprise) au détenteur du certificat (par ex. un employé).

Codes et chiffrement Le chiffrement informatique incassable n'existe pas en théorie. Un attaquant pourrait en principe essayer toutes les combinaisons de clés possibles. On admet qu'un chiffrement est incassable si le temps nécessaire pour le casser est très largement supérieur à celui de l'utilité de l'information chiffrée. C'est donc une situation évolutive avec l'accroissement continu des performances des processeurs. C'est pourquoi les clés utilisées pour déchiffrer s'allongent au fil des années.

S'il y a risque de casse, il tient plutôt à des failles dans le choix des clés ou des algorithmes de chiffrement ou de la manière de s'en servir. Certaines particularités peuvent faciliter les attaques en réduisant le nombre d'essais. Le choix des clés est donc un facteur influent dans le niveau de sécurité.

En l'état, la production de clés procède par filiation. Partant d'une clé mère (racine) préalablement soumise à des analyses complexes, on en dérive des familles de clés pour un usage, une entreprise, une profession, voire une zone économique comme l'Union Européenne. La clé mère est la clé de voûte de tout le système sécuritaire.

Cryptologie et cryptographie restent l'exclusivité de spécialistes. Sont-ils fiables, eux-aussi ?.

Enjeux économiques et politiques La sécurisation des échanges est indispensable pour le développement des applications en ligne. S'il est normal que plusieurs systèmes cohabitent, il est impératif qu'ils assurent l'inter-opérabilité.

L'usage de méthodes propriétaires et secrètes ne permet pas d'évaluer correctement le niveau de sécurité. La gestion des identités et des certificats donne aux gestionnaires un pouvoir de surveillance et de connaissance des activités de leurs clients. La mainmise sur cette gestion par des sociétés hors contrôle des utilisateurs est une porte ouverte aux conflits d'intérêts, aux abus de dominance, et aux usages détournés d'informations confidentielles. À grande échelle c'est une dérive vers une tutelle économique et politique par des groupes étrangers et prédateurs.

Les besoins

On peut distinguer deux grands domaines, non exclusifs l'un de l'autre : celui des services marchands et les autres.

Les services marchands

Dans une transaction commerciale, l'acheteur veut recevoir le bon produit ou le bon service, au bon moment et pour le prix convenu. Le vendeur, de son côté veut être payé. Garantie de livraison et garantie de paiement impliquent ;

une reconnaissance mutuelle des acteurs ;

une validation de leurs actes. Cette validation peut être mutuelle ou impliquer des tiers (banque, assureur etc.) ;

la constitution et l'archivage d'éléments de preuve de la transaction. Là aussi, il peut être fait appel à des tiers reconnus.

Trois besoins fondamentaux des entreprises

Gestion des habilitations et limites de responsabilité

Encadrement de la responsabilité des intervenants selon la nature des transactions, le niveau de délégation etc.

Prise en compte des vulnérabilités de l'infrastructure utilisée,

Couverture effective (assurance) des risques.

Suivi & contrôle

Possibilité de filtrer les transactions selon des critères de sécurité.

Validation locale (Interopérabilité)

Toute l'information pertinente à la prise de décision doit être disponible localement,

Cette information est fournie par des tiers, dont le degré de confiance peut être lui-aussi apprécié,

Le niveau de sécurité requis doit être modulable. (Source : enquêtes du Black Forrest Group réalisées de 1998 à 2000)

Les autres services

Dans les domaines « non marchands », la bonne personne est aussi importante que le bon produit ou le bon service.

Dans certains secteurs, comme la santé, le bon produit ou service ne peut se définir sans une bonne connaissance de caractéristiques précises comme le dossier médical. Ce même dossier ne peut non plus être vu par n'importe qui. À des degrés divers un contrôle est nécessaire. Etre certain que le patient est bien présent et non plus seulement « représenté » est indispensable. [1].

Les grands problèmes

L'absence « d'interopérabilité »

En dehors du change manuel et d'un achat en « liquide », toute transaction implique plus de deux participants. Par exemple, la bonne exécution d'un ordre de virement implique l'émetteur, la banque de l'émetteur, le destinataire et la banque du destinataire. Aujourd'hui la relation entre l'émetteur et sa banque est sécurisée. Mais aucune garantie de bonne fin n'est donnée. Il n'y a pas non plus de retour d'information du destinataire vers l'émetteur.

Par ailleurs, avec les solutions actuellement disponibles, la validation des identités et des actes entre les participants d'un échange doit faire appel à un tiers unique reconnu par chacun des participants. Dans un monde ouvert, cette centralisation va vite se révéler impraticable. Le risque de voir se multiplier des « îlots d'incommunicabilité » est réel.

La perméabilité aux intrusions

En dehors des techniques d'engorgement [2] (denial of service), l'intrusion est le point de départ de toutes les fraudes, attaques etc. informatiques. Les dommages sont alors causés directement ou indirectement. Ils sont multiples. Ils peuvent entraîner des atteintes à l'intégrité physique des personnes, à celle des installations publiques ou privées. Ils peuvent aussi entraîner des préjudices financiers ou commerciaux pouvant mettre en danger l'existence même de l'entreprise ciblée.

Ces intrusions sont rendues possibles par :

les failles sécuritaires des plateformes matérielles ou logicielles ou par

l'usurpation, le vol ou la perte d'identité.

Toute sécurité est illusoire si les failles sécuritaires des plateformes ne sont pas traitées. C'est un sujet en soi et un sujet difficile. [3]

L'approche la plus prometteuse paraît venir du « Jericho Forum », un groupe de responsables de systèmes d'information de grandes entreprises. Cette approche tient en un mot « depérimètrisation » :

Toute barrière est illusoire puisque communiquer consiste à échanger de bout en bout. Il faut donc être capable d'établir des canaux [4] sécurisés, entre tous les participants de l'échange et ceci de bout en bout.

De plus, chaque donnée échangée doit être assortie d'un degré de confiance, interprétable localement.

Ce dernier aspect s'applique en particulier aux identités électroniques.

Non-maîtrise = absence de confidentialité des échanges commerciaux

Le recours à un tiers certificateur ne vaut que par le degré de confiance attaché à ce tiers. La clé « mère » est la clé de voûte de tout système sécuritaire. Il n'existe, à ce jour, que peu d'organismes qui ont été capables de produire une « racine » universelle à usage public. Parmi eux Identrus.

Identrus a été fondé en 1999 par un consortium des 12 plus grandes banques de la planète. Sa « racine » a été produite aux Pays-Bas, sous contrôle des États-Unis et du Royaume-Uni. Sa structure s'est légèrement élargie depuis, mais son centre de gravité s'est clairement déplacé vers les Etats-Unis.

Ces deux points suffisent à justifier la réticence des entreprises françaises à l'utiliser. Pourtant, il semble que beaucoup de banques dans le monde font encore confiance à Identrus pour gérer les identités électroniques de leurs clients. Des réseaux intersectoriels comme RosettaNet s'en sont rapprochés. Faut-il leur rappeler que le schéma d'Identrus est centralisé, et que les serveurs de validation des identités sont situés en Utah ? Ces derniers constituent une cible privilégiée pour ceux qui écoutent les communications sur internet.

Il est urgent de trouver une option pour ceux qui estiment le risque inacceptable.

Les caractéristiques d'usage des « bonnes » solutions

Les solutions actuelles, lorsqu'elles sont bien utilisées, ont permis de faire un premier pas au niveau des échanges bilatéraux. Mais ces solutions sont :

Propriétaires donc chères et « non-interopérables »,

Incomplètes fonctionnellement,

Peu robustes,

Difficiles à mettre en œuvre, dans des environnements impliquant des centaines de milliers, sinon des millions de participants.

Réputées chères et compliquées, elles sont aussi difficilement viables du point de vue des offreurs ! Ceux qui survivent ont naturellement tendance à surfacturer et se gardent bien d'innover. C'est un cercle vicieux, alors que les besoins existent [5] de solutions :

Interopérables, distribuées plutôt que centralisées

Robustes (garanties, auditables),

Adaptables, c'est-à-dire pouvant se mettre en œuvre rapidement et de manière évolutive,

Économiques.

L'interopérabilité

Les infrastructures (à clés) publiques (ICP) sont, aujourd'hui les solutions les plus répandues pour atteindre une large couverture. La protection de la vie privée ou du secret des affaires implique une maîtrise du processus de création et de gestion de ces ICP. Au cœur du sujet : la création et la gestion des identités numériques.

L'interopérabilité implique une vision architecturale globale qui garantisse (de manière sûre et confidentielle) la communication des caractéristiques de sécurité d'un secteur à l'autre et tout au long des processus d'échange (de bout en bout et du début à la fin)

La robustesse

Elle implique la certification et l'audition des plates-formes et des usages. Elle est modulable, ouverte ou propriétaire.

Dans un contexte nourri d'auto-proclamations, le schéma proposé en France pour la qualification des prestataires de services de certification électronique (PSCE) va dans ce sens mais reste d'application limitée.

L'adaptabilité

La difficulté d'intégration dans les applications informatiques existantes reste un des obstacles majeurs. C'est aujourd'hui le sujet le plus mal exploré car la sécurité n'est facilement gérable que si elle a été conçue dès le départ.

De plus, systèmes d'échanges et systèmes internes sont conçus et gérés sans grande continuité. En dehors des banques, c'est rarement le cas.

Toute avancée implique la collaboration entre fournisseurs établis, qui ont un poids considérable, et jeunes innovateurs technologiques, entre concepteurs et opérateurs ou utilisateurs de « systèmes » d'échanges, publics ou privés.

L'économie

Elle implique le recours à des techniques de création et de gestion des certificats numériques, peu consommatrices de ressources et susceptibles de bénéficier d'un effet de masse. Le coût de création et de remise des certificats a peu de chance de baisser. Par contre, le prix de leur gestion peut très fortement diminuer. Les techniques existent, mais sont peu connues. Elles sont protégées mais facilement accessibles.

En conclusion : il est possible dès maintenant de mettre en place des systèmes interopérables, robustes, économiques. Les solutions adéquates sont rares et peu connues. Pourtant elles existent. À notre avis, leur nouveauté même les rend, dès aujourd'hui, plus facilement assimilables à notre environnement français ou européen.

[1] Cela est aussi vrai dans certains secteurs marchands.

[2] Et encore.

[3] Deux raisons parmi d'autres :

Face au quasi-monopole de Microsoft sur les stations de travail, beaucoup ont baissé les bras.

Sous couvert d'atteinte à la vie privée, les premiers efforts de sécurisation du noyau des systèmes d'exploitation engagé par la « Trusted Computing Platform Alliance » , ergoupant IBM, Microsoft, HP et AMD ont été refusés.

[4] Cette notion est proche du traitement de bout en bout des banques. Le BFG préfère le mot « session » qui ajoute une dimension temporelle à un concept métaphoriquement spatial.

[5] Voir, par exemple, dans le domaine privé les spécifications d'associations professionnelles comme leBFG, TWIST ou même celles exprimées dès 2001 par les banques françaises.

Identity Management & Security: Key Issues

Jean-Yves GRESSER, Louis POUZIN — 2005-06-20T22:00:00Z

Trust and confidence on the internetare key concerns for individuals and enterprises, who are now using it for a growing number of applications with either private or government entities, locally or around the world. Authentication is the foundation of any security scheme. Setting up a robust and “healthy” scheme for identity and habilitation management is paramount. This scheme must be universal, i.e. applicable to every sector and across sectors- “Interoperability” is a key issue.

Today the core technology products and services originate mostly from the US. The current offer is very limited and expensive. The few vendors lock up their customers with proprietary technology that is far from inter-operable. Thus security rarely goes beyond the perimeter of a given entity, be it a company or a government office. The most advanced applications only deal with bilateral transactions (payment order, tax declaration) while in the real world even the simplest commercial transaction involves multiple participants.

Naturally, the control of the technical components is extending to the control of identity repertories. There are many reasons why “foreign entities” should not be eligible to manage wide or even small-scale identity repertories. The least being that they bear no liability what so ever:

The banks have shared their risks for many years. They are an exception. Today, outside the banks, there is still only one exchange system in the world, which transaction risks over the internet are insured. A closer look at the letters, which technology vendors send sometimes to their customers, show that they do not commit to financial compensation if anything goes wrong in their systems. The same applies to any so-called “trusted third parties” whether a registry or a certification authority.

Digital Security, Keys & Certificates

The level of trust and confidence will depend on the type of information that circulates over networks. Security devices and set up will have to provide an adequate and proportionate response to the value, to the confidentiality of the information and to the potential threats. This field is largely underdeveloped, unexplored, partitioned and almost entirely left to a few number of technology providers, which are often ignoring or even acting against the interests of the end-users.

The Paper Check This is an example among others. It illustrates the need for identities in commercial transactions.

The paper check is largely used in many countries. It bears the name and address of a bank, a serial number, an amount (in digits and letters), a date, the name, address and signature of the payor. It is possible to forge a paper check, to draw money from a stolen or an unfunded check. In order to limit his/her risks the person receiving the check will ask the payor to prove that she or he is the real person. This is usually done with an official document (identity card or driving license) bearing the person's name and a picture. If the amount is large, the payee will ask for additional guarantees like a bank check. Specific risks may be covered by the banks or even by insurance, if the payee chooses to. If he/she does not, he/she will have to go to litigation if the payment is not finalized. The Internet “Check” When paying on the internet, the payor will have to provide information about him/herself and how he/she intends to pay. It may be different from the data listed on a check. A transaction number will be added at the time of the payment registration. The question is: Who or which elements will prove the validity of the data provided and used remotely? Digital Certificates Digital identities need to be “certified”, i.e. one or several entities (called certifiers), approved by all participants in a transaction will guarantee the validity of the identity as they move across networks. This will be done via a digital certificate, containing information on the identity “subject” of the certificate and on the issuer itself. This information is ciphered in such a way as to prevent alteration. Certificate Management Services

Ciphering is a strong barrier against accidental or malicious alterations. The participants in the exchange process must be able to use the certificate they receive and transmit along the chain. This is why the “certifiers” give them digital keys, which will enable them to access part of the information embedded in the digital certificates. This information will enable the recipient to validate or to add data, to acknowledge or to perform specific operations, for example:

The payor will add an amount, a date, reference information etc. sign, and crypt his message and send it to his/her bank or to the payee.

The “certifiers” (registries or certificate authorities- RAs, CAs) met with the e-commerce players a few years ago. They are still taken as new players. They may come from the public or from the private sector. They are themselves certified by experts and have to fulfil a set of criteria, which were defined in the interest of the end-user. Lately the French government published a certification procedure applying to the so-called “Prestataires de Services de Certification Electronique” (PSCE). A company can be its own RA or CA if large enough.

In addition to cryptographic and to identity information a digital certificate may include quality attributes. A quality attribute may reflect the degree of confidence to be placed in the certifier. The degree will be derived from an analysis of the organisation put in place, from its production tools. It may also reflect:

The confidentiality and the “unguessability” of the key generation used for the key of the certificate, and

The constraints imposed upon the subject of the certificate (could be an employee) by the certificate issuer (could be a registry acting on behalf of the human resources department of an enterprise).

Codes & Ciphers A code is a finite set of characters. There is no code that could not be broken, in theory: an attacker could try every possible combination if granted enough time. A code is said to be unbreakable if the time it would take to break it is longer than the life-time of the information it is protecting. With the increasing processing power of computers this is an endless game. The length of digital keys is steadily growing.

Actually a code breaker will use every weakness or “fault” in the key generation algorithms or in the key generation process itself. The robustness of a security system will first depend on the key generation and on the keys themselves. It should be noted that keys are frequently managed along key hierarchies where a key of level 2 is derived from a key of level 1. At the top of the hierarchy is a “root key”, which was selected after a complex analytical process. From the root key a family of keys will be created to be used in a large variety of contexts: a specific application, in a specific industry sector, company-wide or even in a whole economical area like the European Union. The root key holds the whole system.

It should be noted that cryptology and cryptography rely entirely on highly skilled experts. Are the experts themselves reliable? Business & Political Issues at Stake E-Applications can only grow in a secure and trusted environment. For many reasons, there cannot be a global one-fit-for-all system. In the public and commercial worlds different systems will coexist. These systems need some degree of “interoperability”.

Proprietary and “secret” schemes will not even allow for a proper evaluation of the security level that is actually provided. The management of identities and certificates by third parties enable them to overlook what their customers do. Without actual control from the users it is opening the door to conflicts of interest, market-dominance abuse and misuse of confidential information. On a large scale it may reinforce the predatory attitude of “foreign” entities.

More on The Needs

As already stated the security must provide a response proportionate to the actual needs. These may differ between the trade (and finance) applications and the others.

Electronic trade (and finance)

In a commercial transaction, the buyer wants to get the right service or the right product, at the right time and for the agreed price. On his side the seller wants to be paid according to the agreed conditions. Both the guarantee of delivery and the guarantee of payment imply clear, recognizable and auditable features, which can be regrouped under liability allocation, distributed validation and user accountability.


(Source 1998 - 2000 BFG surveys [[Other professional associations like TWIST and the FBF (Fédération française de banques) expressed the same needs since the early 2000's;]] )

In a nutshell, the first requirement is the “proof of presence” of the participants in the transaction. Next, every participant should be able to the deal with other parties' personnel with the adequate knowledge of their accountability, in the context of the transaction.

Other Services

Outside trading, delivering to the right person is even more important than the right product or the right service. Let us take the healthcare sector as an example:

You cannot prescribe nor deliver the right drug to the right person without having access to medical records of the person. At the same time access to these records needs to be restricted. The ”proof of presence” of the patient as well as of the doctor or of the chemist becomes paramount. You need the right person not a substitute or a forger [1]. Furthermore the whole care process needs to be “inspectable”.

The Key Issues

The Lack of Interoperability

Beyond manual change or cash purchase, any transaction implies more than two participants, for example:

A money transfer will involve at least the originator, the originator's bank, the recipient and the recipient's bank.

Nowadays the originator may issue an order to his bank via the internet. The bilateral link will be secured to some extent. The originator will be authenticated via an ID code and a password. Once the order ”signed”, he will receive an acknowledgement that his order was indeed received. That is all. The bank is normally committed to transmit the order but no additional information is provided until the originator sees a debit from his account. Finality is not guaranteed. No feed back information is provided from the receiving end.

Most security systems are centralised. With the currently available and predominant technologies, the validation of identities and operations calls for a central repository. In an open world this cannot work on a very large scale. If the current trend goes on, whole sectors or even players of the same sector will still be unable to communicate in a safe and secure way.

Permeability to Intrusions

With the exception of overflowing techniques to create a denial of service intrusion is the starting point of any kind of digital fraud, attack etc. Damages may be caused directly or indirectly via platforms, which were previously infected and invested. The nature of these damages seems limited by imagination only. Reaching out the IT platforms, they may trigger physical processes that will arm persons, utilities, plants etc. Losses may also be commercial or financial and may endanger the very life of enterprises.

Intrusions are made possible via:

Security holes of hardware and software platforms, or

Identity thefts (or losses).

The security holes in the most commonly used hardware and software platforms a lot of security measures will make most delusive and misleading. They may even be counterproductive. It is a full topic in itself and a major issue. [2]

Currently the most realistic approach in this respect seems to come from the « Jericho Forum », a group of IT security managers of European companies. This approach is concentrated in a single word : “deperimetrisation”:

Communicating implies the exchange of information between two ends. Thus trying to set up barriers or walls is delusive. To enable trusted paths between participants is the right approach [3];

Every piece of transmitted data needs to be qualified. The qualification is to be interpreted at the receiving end.

This qualification should apply first to digital identities.

Lack of Control = Loss of Confidentiality in Trade

Relying on a digital certification service provider is only as good as the certification of the provider itself. The “root key” of the provider will be determining. There are actually very few organisations in the world, which are able to create a “global root” sufficiently robust to stand in a widely open environment. One of them is Identrus.

The Identrus case shows that there are other considerations to quality than the technology itself. Identrus was created in 1999 by a consortium of the 12 largest banks in the World, to be their digital certificate provider and to federate their customers identities world-wide. Its “global root” was produced in the Netherlands under the “control” of US and UK authorities. Also, since its creation its structure evolved and its centre of gravity moved to the US.

These two facts seem to explain, why banks from other countries are reluctant to participate in Identrus. Still many do not seem aware of the danger or do not seem to care e.g. RosettaNet signed an agreement with Identrus at the end of 2004. Let us just remind them that Identrus works centrally, that is the central validation servers are based in Utah. These servers might provide an entry point to those who listen to communications on the Web. There has to be another alternative for those who care.

Quality Criteria for Security

Current solutions, when they are properly implemented, provide a first response to the needs of bilateral transactions, but:

They are proprietary,

They do not interoperate,

They lack key functions,

Their robustness is questionable,

They are difficult to implement on scales involving several 100 000s or even several millions of participants.

Most people still find them too expensive and complicated, while the digital certification service providers hardly survive! These providers tend to overcharge and keep from innovating. This is a vicious circle. And the needs remain unfulfilled [4] of solutions, which are:

Interoperable, distributed instead of centralised,

Robust (guaranteed, auditable),

Cost effective, and

Adaptable, i.e. which can be rolled out quickly and can evolve,

Interoperable

Public Key Infrastructures (PKI) are the most commonly used solutions for large scale applications. The protection of privacy or the confidentiality of business transactions requires a tight control on the design, implementation and management of these infrastructures. At the heart are the creation and the management of digital identities.

Interoperability calls for a global architecture, which will enable security features to perform across systems or platform and information, starting with digital identities, to bridge between sectors safely, in confidence and confidentiality.

Robust

With such certification schemes as the one proposed in France for the “ prestataires de services de certification électronique” (PSCE) the days of self-proclamation are almost over.

This implies that a good system must be auditable and inspectable, and that the results must be embedded in such a way as to be interpreted beyond their “perimeter”.

Cost effective

In the life cycle of the digital certificates, the first step (creation and first distribution) is likely to remain expensive. There are however techniques which can demonstrate economies of scale. The same techniques are fitted for the mass revocation or maintenance of the certificates at a reasonnable cost.

Adaptable

The integration into existing applications remains often an obstacle. This is a difficult subject. Security is better dealt with when it was integrated into the original design. When taken as an add-on, it remains often illusive and the cost is dissuasive.

The continuity between internal application and external exchange systems is a growing challenge. So far the banks are among the few players with a vision integrating security.

Any progress will imply the cooperation of IT providers, not necessarily the largest ones, the innovators are more often small companies, the designer and operators of exchange systems and large users, whether governments or large enterprises.

Nowadays it is possible to implement interoperable, robust and cost effective solutions. These solutions are very few and they went so far almost unnoticed; Still they do exist. It is our opinion that this should make them more acceptable to the French and the European markets.

[1] This may also be true in the trade or finance area.

[2] Two reasons among others:

Microsoft is controlling the software platform of most PC on the planet. It is at the same time the cause of many concerns and the solution;

The privacy implication of the Trusted Computing Platform Alliance (IBM, Microsoft, HP and AMD) put it to a halt in Europe.

[3] Path means “end to end”. This is close to the “straight through processing” of the banks. The BFG actually goes a step further and calls for “trusted sessions”.

[4] Professional associations like the BFG, TWIST and the FBF (Fédération française de banques) recurrently expressed those needs since the end of the ‘90's;

Internet et l'innovation

Kavé SALAMATIAN — 2005-06-16T22:00:00Z

L'Internet première génération est quadragénaire...

Les fondements de l'Internet actuel datent des années 60 et c'est un réseau qui arrive en quelque sorte dans la crise de la quarantaine. On commence à se poser des questions du genre : « Qu'ai-je fait, où j'en suis ? Que faire maintenant ? Comment gérer mon surpoids ? » L'Internet se pose exactement les mêmes questions.

Caida (http://www.caida.org/) est un projet qui a pour objectif de mesurer l'Internet. Les chercheurs se posent plusieurs types de questions : quelle est la taille de l'Internet ? Quel est le graphe de l'Internet ? Comment construire un graphe de l'Internet ?

Ils ont réalisé un graphique (voir ci-dessus) dans lequel chaque point représente un réseau d'opérateurs et plus le point est proche du centre, plus ce réseau est connecté aux autres. Un point qui est à la périphérie est en quelque sorte un réseau qui n'est connecté qu'à un seul réseau, c'est le client d'un autre opérateur. Tandis qu'un réseau qui est au centre est un réseau qui est connecté à tout le monde. Pour comprendre ce que veut dire aussi le cadran, on a indiqué la longitude des différents réseaux : on trouve donc les États-Unis, l'Europe, le Moyen-Orient, l'Asie, l'Océan Pacifique. La figure propose une vision assez claire de la situation de l'Internet aujourd'hui, où l'on voit très bien que tout ce qui est au centre est aux États-Unis, et plus encore, sur la côte Est des États-Unis. En Europe, il y a des petits points, et rien au centre. Au Moyen-Orient, il ne se passe pas grand-chose. L'Asie a un certain nombre de points. Pour le Pacifique, finalement il n'y a pas grand monde non plus, sauf un peu en Australie et en Nouvelle-Zélande.

Ce graphe est assez intéressant parce qu'il montre la figure du mastodonte. Il comprend autour de 70 000 noeuds. Chaque noeud est un opérateur - par exemple, France Telecom, dans cette figure, est un noeud. Et il fournit une vision extrêmement intéressante de la géopolitique de l'Internet. On peut se poser la question « y-a-t-il une corrélation entre le vide du cadran et la situation actuelle au Moyen Orient ? ». Et l'on évite de parler de l'Afrique ...

Le réseau aujourd'hui explose. Là où l'on comptait 4 noeuds, on est passé à des millions de noeuds. Les protocoles ont eux aussi explosé. Au petit protocole IP des débuts, on a jugé bon d'ajouter une couche transport TCP, puis on y a adjoint SMTP, HTTP, DNS, BGP, une pléiade d'acronymes qui nous submergent tous les jours. D'un autre côté, on commence à avoir ce que l'on pourrait appeler une accumulation de connaissances. Il est exact qu'au début du réseau, on a trouvé la voie en marchant, mais après une quarantaine d'années de recherches, il devient possible d'avoir un certain nombre d'outils pour le comprendre en terme de file d'attente, de mesure, de vitesse locale, de bande passante et autres. Cette accumulation de connaissances permet d'avoir une vue un peu plus claire de ce qui s'y passe.

Une série de nouvelles technologies et de nouvelles architectures ont commencé à se développer : au côté des architectures anciennes, on trouve les LAN, les réseaux locaux, et plus récemment les réseaux de distribution de contenus, les réseaux de caches comme AKAMAI et d'autres.

Quelle possibilité de poursuivre l'innovation ?

Le graphique est assez parlant parce qu'il donne une vision générale de l'évolution des différents domaines scientifiques. Comme dans beaucoup d'autres domaines scientifiques, on a au départ très peu de connaissances de la problématique, et on commence à développer des "rustines" pour faire des choses de plus en plus complexes. Après un certain temps, le niveau de compréhension du problème s'améliore et l'on s'aperçoit que finalement on peut simplifier cette solution. On ajoute des notions de qualité de service, de priorité entre les utilisateurs, de noms de domaine, de nommage, etc. Et l'on ôte progressivement de la complexité. Aujourd'hui, il est très difficile de trouver un opérateur qui vende de la qualité de services. En revanche, pour la plupart des réseaux, le problème aujourd'hui est d'avoir une qualité de services décente. Un exemple : la voix sur IP aujourd'hui existe, les abonnés des opérateurs ADSL l'utilisent de plus en plus.

Un autre processus vient se greffer à celui-ci : le processus d'innovation. Une nouvelle vague arrive à un certain moment, qui va, en quelque sorte, prendre le relais de la vague précédente. On aura une nouvelle architecture et une nouvelle thématique et l'on commence à en voir les soubresauts, de façon assez claire, dans le domaine de la mobilité, dans le domaine de l'ambiant. Tous ces domaines sont sur cette courbe rouge et vont, dans un futur plus ou moins proche, changer la situation.

Si l'on regarde l'évolution de l'Internet des 40 dernières années, on peut la résumer de la façon suivante : l'Internet aujourd'hui est une commodité. Il est devenu tellement normal que si vous allez à une réunion et qu'il n'y a pas de connexion, cela vous semble bizarre. Si vous allez aujourd'hui à l'hôtel, vous allez immédiatement vérifier s'il existe un réseau sans fil ou pas. Mais en même temps les nouvelles demandes, les nouvelles applications mènent les principes de base de l'Internet à leurs limites. On arrive à une situation où l'on a besoin d'introduire de nouveaux concepts. La sécurité est un exemple assez frappant dans lequel l'architecture de base de l'Internet entre totalement en contradiction avec les besoins que l'on rencontre aujourd'hui.

Lorsqu'il y a une telle inertie, un tel poids de l'existant, n'importe quel changement nécessite un coût énorme. A tel point que finalement on peut se dire : il vaut mieux construire un réseau à côté que d'opérer un changement dans ce réseau-là.

L'exemple assez classique est encore celui de la voix sur IP. Il y a une dizaine d'années, tout le monde disait : "les opérateurs téléphoniques sont condamnés, la voix sur IP arrive et va les remplacer complètement". Finalement que constate-t-on ? Les opérateurs téléphoniques ne sont pas morts, la voix sur IP est arrivée, mais sur un réseau différent. Dans l'architecture des réseaux de voix sur IP, on trouve la partie ADSL (du poste personnel jusqu'à l'opérateur ADSL) qui est partagée avec les données et tout de suite après, il y a une séparation en deux réseaux totalement différents.

Autre problème, autre réalité : il y a tellement de forces économiques et politiques en jeu que finalement le futur de l'Internet ne pourrait être construit que par un consensus de ces forces. Mais atteindre un consensus nécessite une telle énergie que l'évolution est extrêmement lente. L'exemple assez classique est celui de l'Union européenne désireuse de construire un système de nommage .eu qui soit un tant soit peu indépendant. C'est très difficile, très lent, c'est une décision politique lourde à prendre. La capacité d'innovation semble alors extrêmement limitée.

Les pistes d'un Internet nouvelle génération

Une vision pessimiste pourrait faire croire que la recherche portant sur le réseau est une impasse. On peut voir les choses de manière différente, d'un point de vue optimiste, et dire que l'on est arrivé à une situation où la recherche est plus que jamais nécessaire parce qu'il faut définir de nouveaux paradigmes, de nouvelles technologies de rupture. Si l'on considère les activités de recherche dans le domaine des réseaux, on peut les diviser en deux grandes parties, d'une part des activités de recherche soutenues par la technologie et d'autre part, un autre type de recherche principalement fondé et défini par l'application. Dans une vision à court et moyen terme, on peut chercher à adapter et améliorer l'Internet d'aujourd'hui, et à plus long terme on peut oser des approches plus risquées, basées sur de l'innovation. Mais à court et moyen terme, les thématiques essentielles sont liées à la compréhension de l'Internet, qui demeure très peu maîtrisée.

Une première question est de savoir si l'on dispose d'une méthode de comparaison des Fournisseurs d'Accès Internet. Aujourd'hui tous les FAI sont comparables en termes de prix, mais comment peut-on comparer deux FAI ? On ne sait pas le faire. L'une des thématiques est ainsi de comprendre le réseau, ce qu'on appelle faire des mesures et les analyser [1].

Une deuxième thématique importante est la tomographie : on se rend compte que l'Internet est un environnement dans lequel chaque acteur n'a qu'une connaissance très réduite des autres acteurs. Vous êtes client chez un FAI, vous n'avez aucune connaissance de l'architecture de votre FAI. Mais celle-ci aura énormément d'incidences sur ce que vous faites. Supposez que vous téléchargiez quelque chose et que ça ne passe pas : pourquoi ça ne passe pas ? Votre opérateur est-il bloqué ? Le site sur le quel vous téléchargez est-il bloqué ? Votre machine manque-t-elle de puissance, de mémoire ? On a besoin de faire de la tomographie : avec une vision incomplète de ce à quoi on n'a pas accès, pouvoir deviner ce qui se passe derrière.

Troisième thématique, la modélisation. Sans modèle on n'est pas capable de savoir ce qui se passe.

Dernière thématique très importante : l'économie d'Internet. Elle est extrêmement décousue. On ne sait pas si le genre de modèle économique utilisé aujourd'hui dans l'Internet est viable ou non.

Une seconde exigence est requise, après la compréhension de l'internet tel qu'il fonctionne réellement : adapter l'Internet d'aujourd'hui aux nouvelles demandes, principalement au sans fil. Dans le sans-fil, on se retrouve avec une série de mots-clefs, de thématiques. Par exemple, les réseaux ad hoc. L'un des intérêts du sans fil est que vous pouvez être connectés entre vous de façon, je dirais, ad hoc. Et l'on doit se demander : quel est le modèle sociologique de coopération, de collaboration, quel en est le modèle économique ? Très rapidement, si l'on regarde l'environnement de l'Internet sans fil sur la ville de Paris, par exemple, il est beaucoup plus facile aujourd'hui de se connecter à l'Internet sans fil de façon gratuite que de façon payante. Le tissu associatif qui ouvre sa connexion Internet et qui la met gratuitement à disposition est beaucoup plus important que le nombre de sites où SFR ou Orange propose la connectique sans fil [2].

Un troisième volet important concerne la thématique des capteurs. Jusqu'à maintenant, il était admis que les réseaux permettaient aux individus de communiquer entre eux. Petit à petit, les réseaux permettent à n'importe quoi de communiquer. Ce domaine est fortement poussé depuis 3 ou 4 ans par le DoD américain, dont l'objectif inavoué peut s'exprimer en ces termes : si je veux surveiller ma frontière mexicaine et que je ne veux pas avoir beaucoup de fonctionnaires parce que j'ai un déficit public abyssal, quelle est la solution ? En voici une : prendre un avion et lancer sur une grande région des petits capteurs de proximité ; si quelqu'un passe à côté d'un capteur, il génère une alarme. Ces petits capteurs sont interconnectés et communiquent. Ils signalent la présence de ce passant sur tel chemin ... un contrebandier ou autre. Autre utilisation : plusieurs entreprises américaines de distribution ont décidé, à partir de 2005, d'obliger leur fournisseur à se servir des RFID. Ce sont de petites puces installées sur des palettes de marchandises et qui permettent de les suivre à la trace. Tout cela génère une série de problèmes : avoir la capacité de suivre à la trace une palette contenant de l'Evian n'est pas très intéressant, mais suivre à la trace tel produit utilisé au niveau économique, cela donne une vision énorme, ce qui fait que VERISIGN est intéressé par cette thématique. Comment rendre tout ceci cohérent et transparent ?

Quatrième volet, le multi-réseau : on s'aperçoit aujourd'hui que le réseau ne peut pas être un réseau unique, que l'Internet formera des combinaisons d'UMTS, de WIFI, de GPRS, de réseaux filaires, etc. Il est essentiel aujourd'hui pour nombre d'activités d'avoir des mécanismes de localisation. Comment gérer ces combinaisons ?

Enfin l'on reviendra sur la question-clé de la sécurité. Un mouvement à plus long terme se dessine, celui de l'Internet pervasif, c'est-à-dire la possibilité d'être connecté partout de façon complètement transparente. Comment gérer la connectivité ? Que faire pour procurer de la facilité de management et améliorer la sécurité ?

En résumé, le besoin existe de nouveaux "paradigmes " architecturaux et, de façon assez intéressante, ces derniers ne sont pas contradictoires avec les précédents. Il existe plusieurs éléments importants dans cette approche : on évoquera pour conclure la notion "d'overlay", de surcouche. Les différentes communautés d'utilisateurs vont employer la connectivité de base pour construire des réseaux qui ne sont plus dépendants de cette connectivité, mais dépendants de leurs besoins - par exemple, les individus qui veulent partager des films ou du MP3 vont se construire un réseau au-dessus du réseau, adapté à leurs besoins. Ils ne veulent pas savoir si le film qu'ils téléchargent passe par tel ou tel routeur, ce qui est important pour eux est d'avoir réussi à le trouver. Cette communauté d'utilisateurs se moque complètement de connaître le DNS, que ce soit un .com ou un .net. Elle veut pouvoir lancer une requête " Je veux Let it be " et réussir à trouver son fichier Let it be. Aujourd'hui, ce comportements d'overlay devient tellement important qu'il fait passer le réseau Internet que l'on connaît en arrière-plan. Il devient un réseau de communautés, à partir de surcouches et l'exemple de « Planetelab » est caractéristique d'une communauté d'universitaires voulant spécifier son réseau sur l'architecture Internet. « Je ne suis pas obligé de suivre ce que veut mon opérateur, grâce à des couches applicatives, je peux déterminer moi-même le circuit d'informations que je prends au sein même du réseau Internet. » Par exemple le logiciel de voix sur IP que l'on appelle SKYPE déjoue entièrement l'ensemble des mécanismes de routage, les volontés de politique de re-régulation du réseau de type BGP [3].

[1] On est dans une situation assez semblable à celle de la météo à la fin de la Renaissance, où l'on a commencé à faire des mesures météorologiques et à construire des archives qui ont ensuite permis, 200 à 300 ans plus tard, de construire des systèmes de prévision qui sont plus ou moins fiables.

[2] On voit bien la réussite d'un certain nombre d'associations comme par exemple "Paris sans fil".

[3] Border Gateway Protocol est un mécanisme qui permet d'annoncer la connectivité au monde entier, d'annoncer que vous êtes prêt à accepter certains paquets selon certaines règles et à en rejeter d'autres qui ne respecteraient pas ces règles.