Dans un monde sans serveur de nom, la navigation sur Internet se résumerait très souvent à lire le message « n’habite plus à l’adresse indiquée ».Leur présence est en effet essentielle afin de convertir une dénomination universelle (URL) telle « www.lesnouvelles.net » en l’adresse spécifique du serveur correspondant (209.61.156.250), où qu’il soit sur le réseau et même s’il vient à changer de lieu.Et c’est précisément un monde sans serveur de nom que l'[ICANN | http://www.icann.org] (Internet Corporation for Assigned Names and Numbers) a tenté d’imaginer lors d’une rencontre exceptionnelle cette semaine. Il s’agissait d’étudier la vulnérabilité de l’architecture mondiale de résolution des noms sur Internet et de faire des propositions afin de la rendre plus robuste.Car sur les milliers de ces serveurs essentiels, treize d’entre eux jouent un rôle crucial. Ce sont les serveurs principaux, les « chefs » des domaines en .com, .org et .net. Leur parole fait office de loi lorsqu’il s’agit d’atteindre un serveur sur Internet.Treize serveurs très vulnérablesLas, ces treize apôtres de la parole du réseau reposent depuis des années sur des pieds d’argile. DNS, le protocole utilisé pour les opérations de « traduction » n’est pas sécurisé, et BIND, le logiciel le plus utilisé dans ce rôle, souffre régulièrement de failles de sécurité. A tel point qu’il en devient un rival du serveur web IIS de Microsoft dans le triste concours du produit Internet le moins sûr.Mais si de nombreuses attaques perverses sur les DNS sont connues depuis des années, c’est plutôt une attaque en règle par déni de service que l’ICANN semble craindre le plus. Une opération telle celle qui a coupé du réseau les grands sites de commerce américains en février 2000 neutraliserait probablement Internet si elle était menée contre ces treize serveurs non protégés.Il ne serait alors possible de contacter les serveurs du réseau qu’en entrant leur adresse IP, et plus leur nom. Dans le cas d’un serveur changeant d’hébergement, il serait impossible de le retrouver, puisque l’adresse IP change avec lui et qu’aucun annuaire ne permettrait d’associer sa nouvelle adresse à son nom habituel. De très nombreuses applications cesseraient en outre de fonctionner, car elles reposent sur une adresse universelle (URL) pour contacter des éléments extérieurs, et non une adresse IP fixe.Une menace connue depuis longtempsUn tel scénario catastrophe, les spécialistes de la sécurité des réseaux y pensent depuis longtemps, mettant en garde contre la fragilité de DNS en général et des serveurs racine en particulier. Mais ce n’est qu’aujourd’hui que le principal intéressé se penche officiellement sur la question.Parmi les solutions proposées par l’ICANN pour assurer la sécurité des serveurs de nom figure le recours rapide à une version sécurisée de DNS, DNSSEC (voir notre article, daté d’il y a tout juste un an).Hélas, DNSSEC est étudié depuis cinq ans, et semble loin d’être prêt à être déployé à grande échelle, même si la dernière version de BIND le prend en charge.En outre, DNSSEC, s’il protège des modifications non autorisées des serveurs DNS, ne peut rien contre les attaques par déni de service. Face à celles-ci, l’ICANN est impuissant et la vulnérabilité des treize serveurs racine demeure.