Libres échanges - Philippe Jaillon
Titre : Libres échanges
Intervenant : Philippe Jaillon, Enseignant chercheur
Lieu : Rencontres Mondiales du Logiciel Libre
Date : Juillet 2017
Durée : 25 min 49
[Support de la présentation]
Licence de la transcription : Verbatim
Statut : Transcrit MO
Description
L’Internet et les ordinateurs sont des outils formidables. Des outils à qui nous confions de plus en plus d’informations, à qui nous faisons des confidences, à qui nous confions nos plus précieux secrets… Mais ces outils, pour réussir dans ces taches, ont été dotés de propriétés et de fonctionnalités qui les rendent dangereux dès lors que nous en perdons le contrôle ou qu’ils nous échappent. Cette intervention propose de faire un rapide panorama des aspects de la sécurité qui ont traits au respect de notre vie privée insensible à tous nos besoins d’échanges, qu’ils soient liés à la position stratégique de certains acteurs, aux développements de nouveaux services bien moins inoffensifs qu’il ne le paraissent, aux applications ou aux protocoles mal conçus ou mal utilisés… aux processeurs tellement bavards, qu’a les écouter, on peut en apprendre tous les secrets qu’ils cherchent à nous cacher.
00'
Libres échanges, une espèce de clin d’œil au nom qui a été donné aux RMLL cette année.
Un très bref CV. Je suis enseignant chercheur à l’École des mines de Saint-Étienne. Mes domaines de prédilection ce sont les réseaux de communication, les objets connectés et puis la sécurité de ces deux domaines. Et je suis particulièrement sensible aux problèmes de respect de la vie privée, d’où ma question de tout à l’heure.
De quoi est-ce que je vais vous parler ? Aujourd’hui, est-ce que l’Internet est le support qu’on nous a vendu il y a vingt ans ou trente ans au libre-échange ? C’est-à-dire est-ce que je suis libre de parler, d’échanger avec qui que ce soit sur Internet ?
On va se dire qu’il y a des tas de choses qui ont été inventées ces dernières années, souvent par des personnes empreintes de liberté. Internet c’est né, on va dire ce sont les babacools américains de la côte ouest qui rêvaient d’un monde où chacun pouvait parler à chacun etc., même s’ils ont fait ça pour l’armée.
Donc les objectifs initiaux étaient louables. Mais qu’est-ce qu’il en reste aujourd’hui quand on regarde l’usage qu’on peut faire de toutes ces technologies ? Eh bien je vais vous faire, en fait, un cours de réseau. Donc qu’est-ce que c’est, aujourd’hui, communiquer dans l’Internet ? D’abord il faut utiliser des protocoles qui sont communs, les fameux protocoles qui ont été inventés dans les années 70 par Vin Cerf et compagnie. Ces protocoles, alors je ne sais pas comment dire, ils ne sont pas vraiment libres, mais ils sont publics. L’intérêt c’est de pouvoir communiquer ensemble. Donc les spécifications sont disponibles pour tout le monde. Elles ont été financées et puis maintenant elles sont utilisables librement.
Pour pouvoir communiquer, eh bien il va falloir utiliser un service qui est sur le réseau. C’est-à-dire si je veux communiquer, si je veux faire du mail, il va falloir que j’utilise un relais de messagerie aujourd’hui ; c’est un service. Qu’est-ce qui va se passer ? Je vais envoyer mon mail, dès lors que ce mail est envoyé, eh bien il m’échappe, déjà ! Et puis il y a certains services, on en connaît plein, qui ne sont pas forcément des services libres. Aujourd’hui, Facebook, je ne peux pas admettre que ça soit un service libre. Google je ne suis pas sûr que ce soit un service libre. D’accord ? Il en existe des tas comme ça, Instagram, enfin tous ceux que vous pouvez imaginer qui ont pignon sur rue et qui sont super utilisés par une grande partie des internautes. Bien !
Donc conclusion. En fait, quand on communique sur l’Internet d’abord on n’est pas seul, quand on entreprend une communication on a, eh bien évidemment soi comme participant, le réseau et puis le service que j’ai représenté ici par un machin qui s’appelle un serveur. D’accord ! Donc on est trois et puis il y en a un au milieu, le réseau, je ne le connais pas vraiment en fait.
Première chose à savoir, c’est que les communications entre moi et le serveur, elles vont être observables tout au long de leur acheminement. Le petit fil rose, eh bien, je ne vais pas dire n’importe qui, mais tout un tas des personnes est susceptible d’observer ce qui circule sur le petit fil rose, déjà. Donc en termes de liberté, il est hors de question de chuchoter à l’oreille de quelqu’un.
Le premier équipement auquel, en général, auquel on confie nos données c’est ce qui s’appelle un routeur. Un routeur, c’est quoi son travail ? C’est de regarder les données et de se dire pour qui sont-elles ? C’est plus que le facteur. Le facteur regarde l’enveloppe. Un routeur pourrait se restreindre à ça, mais en général, les routeurs, pour des tas de raisons, ils font plus, ils regardent plus loin. Ça s’appelle le deep packet inspection, par exemple. Pourquoi ? Pour prioritiser les trafics, etc.
De toutes façons, pour communiquer, il va être nécessaire de faire super confiance au réseau.
Comment est-ce qu’on fait pour établir une connexion ?
Si on connaît l’adresse IP de son correspondant qui est l’identifiant unique de chacun dans l’Internet, eh bien pas de problème ; on va demander. Alors on demande à qui ? On demande au réseau. On va demander au réseau quelle est l’adresse physique de l’équipement, si celui-ci est sur mon propre réseau.
Vous avez tous dû repérer quelque part que vous aviez un machin qui s’appelait l’adresse MAC ; l’adresse MAC est un identifiant qui est censé être à peu près unique, l’idée c’est qu’il soit unique dans un réseau local et qui est associé physiquement à votre machine. De moins en moins de machines permettent de changer son adresse MAC.
Donc on va demander au réseau quelle est l’adresse MAC de son correspondant et on va lui transmettre les données directement. Bon ! Qu’est-ce qu’on fait en disant ça ? On hurle, en fait, dans la salle : « Eh, t’es quelle place Marcel ? » Donc l’assemblée entière est au courant que je veux discuter avec Marcel.
Et puis sinon, si mon correspondant n’est pas dans mon propre réseau, je vais demander l’adresse MAC de mon routeur, celui qui a été configuré quelque part dans mon système, et je vais transmettre à ce routeur les informations qui lui permettront d’acheminer les données vers le correspondant.
Conclusion : tout mon réseau local est averti de mes intentions. Quand je veux parler à quelqu’un tout le monde autour de moi sait que je veux parler à quelqu’un. Vous allez me dire ce n’est pas super grave que tout le monde, dans le cercle familial, sache que je veux parler avec, je ne sais pas quoi, ma fille ou avec un copain ; si c’est ma maîtresse, ça devient gênant, quoi !
Si je ne connais pas l’adresse IP de mon correspondant, il va falloir que je trouve un moyen de l’obtenir. Le moyen aujourd’hui pour l’obtenir s’appelle le DNS, le Domain Name System. C’est une espèce de méga base de données mondiale, distribuée, répartie ; donc pareil construite historiquement en se disant à quel endroit est-ce que je vais faire l’association entre le nom d’une machine IP ? Eh bien quel et le meilleur endroit ? Chez le propriétaire de cette machine. Donc les propriétaires des machines, qu’est-ce qu’ils faisaient ? Ils mettaient en place un service dans leur réseau dans lequel ils faisaient cette association et puis ils en informaient le responsable de niveau supérieur en disant eh bien voilà les machines du réseau de l’École des mines, le serveur DNS est à tel endroit, etc. Ça permettait à n’importe qui dans le monde de pouvoir récupérer ce type d’informations.
Aujourd’hui plus personne ne le fait. Quand vous vous abonnez à l’Internet, si vous avez envie de disposer de votre propre nom de domaine et donc d’avoir des machines directement accessibles dans votre propre réseau, il va falloir mettre en place un DNS. C’est beaucoup d’ingénierie ; donc qu’est-ce qu’on fait ? On le confie à son prestataire. Libre ou pas libre le prestataire, ils offrent tous ce service.
Donc au lieu d’interroger le propriétaire, entre guillemets, du réseau, on interroge un tiers en lui demandant : « S’il te plaît, tu pourrais nous donner l’adresse IP de la machine de Philippe Jaillon ? » Et il va répondre. Il est là pour ça. Mais au passage, qu’est-ce qu’il sait ? Il sait que vous, vous avez envie de discuter avec Philippe Jaillon. D’accord ? Donc on commence à informer des gens qui sont hors de mon cercle, de mon premier cercle entre guillemets. Parce que qui sont ces grands opérateurs ? En France c’est Gandi par exemple, c’est Orange, ça peut être d’autres. Ça peut être Verisign. Symantec offre ce type de service si vous leur achetez un nom de domaine, etc.
Donc le DNS, comment est-ce que ça fonctionne ? Là pareil, on va interroger le réseau pour connaître l’adresse de son correspondant. Comment est-ce qu’on fait ? Quand on est la maison, eh bien on a en général une box qui a été raisonnablement configurée par son opérateur de manière à ce que toutes ces requêtes se fassent chez lui, pour des histoires d’efficacité, on va dire. On ne va pas dire qu’il cherche à nous tracer, mais… De toutes façons il aurait d’autres moyens de nous surveiller.
Quand c’est mon téléphone, eh bien si je me paye un téléphone Android directement piqué chez Google, eh bien c’est super top, parce que le service auquel il faut que je m’adresse c’est 8.8.8.8 qui appartient à M. Google. Donc là ça devient rigolo parce que chaque fois que je vais faire une connexion dans l’Internet, je vais demander à M. Google son assentiment.
10’ 36
Quand on fait une recherche, comment ça fonctionne ?
