Extranet Intranet Intranet
Reseau d’entreprise
Internet
Usage privé Usage public
La norme ISO 9834 a spécifié des autorités d’enregistrement et les a organisées selon une structure hiérarchique arborescente. De la racine de l’arbre partent trois branches aboutissant à des nœuds distincts de premier niveau qui représente le domaine de dénomination de l’UIT, de l’ISO, et d’un comité joint ISO-UIT qui constituent les autorités internationales d’enregistrement. Le niveau immédiatement inférieur à l’ISO autorise entre autres, l’enregistrement:
• des diverses normes ISO (0 standard);
• des membres de l’ISO (member-body 2) sous lequel on trouvera l’AFNOR (208), l’ANSI (310);
• des organisations (organization (3)) sous lequel dépendra par exemple le Département de la Défense américaine (DOD) (6) (Figure III.3).
Figure III.3 – Autorités et arbre d'enregistrement
Les noms de domaine génériques de l'Internet sont enregistrés dans cette structure logique d'enregistrement. On ne s'intéresse alors qu'à la partie de l'arbre d'enregistrement dont le nœud constitue la racine des noms de domaines les plus élevés qualifiés de top-level domains (TLD). Ces derniers identifient principalement des pays indiqués par deux lettres (fr, it, uk, ch, nl, de, etc.) et des domaines fonctionnels comme:
• .com organisations commerciales;
• .edu institutions académiques d’Amérique du Nord;
• .org organisations, institutionnelles ou non;
• .gov gouvernement américain;
• .mil organisations militaires américaines;
• .net opérateurs de réseaux;
• .int entités internationales;
• .biz pour ce qui concerne le monde des affaires;
• .info pour tous les usages;
• .museum pour les établissements dans lesquels sont rassemblées et classées des
collections d'objets, en vue de leur conservation et de leur présentation au public;
• .aero pour l'industrie des transports aériens;
• .coop pour les coopératives;
• .pro pour les professions.
À l’intérieur de ces grands domaines de désignation, se trouvent des sous-domaines, qui correspondent à de grandes entreprises ou à d’importantes institutions.
L’IANA (Internet Assigned Number Authority)28 basé à l’ICANN (Internet Corporation For Assigned Names and Numbers)29est responsable de l’attribution des noms et adresses et doit s’assurer de leur unicité. Cette responsabilité de gestion des noms peut-être déléguée à un sous-domaine qui est, d'un point de vue hiérarchique, sous son autorité.
Enregistrer un nom de domaine consiste à insérer une entrée dans un annuaire de désignations. Cela revient à créer un nouvel arc dans l'arbre d'enregistrement géré par une organisation habilitée. Il en existe plusieurs au niveau international, notamment pour ce qui concerne les domaines.biz,.com,.info, .name,.net,.org.
Pour la France, par exemple, l’AFNIC30 est l’autorité d'enregistrement accréditée (Accredited Registrar Directory) par l'ICANN (Internet Corporation for Assigned Names and Numbers).
C’est une association américaine – sur territoire américain, opérant selon la législation américaine – qui possède le pouvoir de l’attribution et la gestion des adresses31. Elle contrôle ainsi l’accès à l’Internet. Ceci pose un réel problème de dépendance des organisations et des Etats vis-à-vis d’une supra-structure étrangère qui se veut ouverte sur le reste du monde mais dont le poids des représentants non américains est faible.
Le critère de sécurité relatif à la disponibilité (des infrastructures, services, données) qui passe par l’accessibilité au réseau Internet ne peut être ni contrôlé, ni maîtrisé par les organisations. Elles sont tributaires pour leur accès à l’Internet, de l’attribution des adresses IP et des noms de domaine, d’entités qui leurs sont externes.
Les annuaires d'enregistrement des noms de domaine peuvent être vus comme des bases de données gérées par des serveurs DNS. Une quinzaines de serveurs racine DNS (root servers) sont coordonnés par l'ICANN, la grande majorité des serveurs racine se situe sur le territoire nord américain. Ils gèrent les noms de domaine et les adresses IP de plus haut niveau (top-levels domains). Cela comprend l'ensemble des domaines précédemment cités (.org,.com, etc.) et aussi les 244 noms de domaine des différents pays (.cn (Chine),.ga (Gabon),.lk (Sri Lanka),.pf (Polynésie française), etc.). Des serveurs DNS locaux dits de résolution (resolvers) possèdent une copie des informations contenues dans les serveurs racine. Souvent associés à des points stratégiques d'accès au réseau ou liés à des fournisseurs d'accès Internet (Internet Service Providers – ISP), ils permettent de répondre aux requêtes des utilisateurs relatives à la traduction d'un nom de domaine en une adresse IP (Figure III.4)32.
28 IANA: www.iana.org/
29 ICANN: www.icann.org/index.html 30 AFNIC: www.nic.fr
31 Selon l’ICANN: «…The Internet Corporation for Assigned Names and Numbers (ICANN) is an internationally organized, non-profit corporation that has responsibility for Internet Protocol (IP) address space allocation, protocol identifier assignment, generic (gTLD) and country code (ccTLD) Top-Level Domain name system management, and root server system management functions. These services were originally performed under U.S. Government contract by the Internet Assigned Numbers Authority (IANA) and other entities. ICANN now performs the IANA function».
32 Figure issue du livre «Sécurité informatique et télécoms: cours et exercices corrigés»; S. Ghernaouti-Hélie; Dunod
Figure III.4 – Arborescence de serveurs DNS
Il est primordial que les adresses, les processus, les systèmes impliqués dans la gestion des noms et adresses, dans l’acheminement des donnés soient disponibles, intègres, fiables et sécurisés. Il est de la responsabilité des entités en charge des infrastructures de transport de protéger et de gérer efficacement leurs environnements de communication.
III.1.5.3 Protocole IPv4
La version 4 du protocole Internet (IPv4)33 qui existe depuis l’origine du réseau Internet, est encore largement utilisée. Ce protocole a pour rôle d’encapsuler (d’envelopper) les données à transmettre pour constituer des paquets IP qui seront acheminés à travers le réseau Internet jusqu’à leur destination. Chaque paquet contient entre autres, l’adresse IP source du système émetteur et l’adresse IP du système de destination.
L’acheminement se réalise de proche en proche à chaque système intermédiaire (routeur) traversé selon l’interprétation des adresses des paquets et l’algorithme de routage des routeurs.
Le protocole IPv4 n’intègre aucune fonction, aucun mécanisme permettant d’offrir un service de sécurité. En effet, IPv4 ne permet pas d’effectuer l’authentification de la source ou de la destination d’un paquet, ni la confidentialité des données qu’il transporte, ni la confidentialité des adresses IP impliquées lors d’un transfert d’informations entre deux entités. De plus, le protocole s’effectuant en mode sans connexion, ne garantit pas:
– la remise des données (perte possible de données);
– la livraison de données au bon destinataire;
– l’ordonnancement (séquencement) correcte des données.
Le protocole IP de niveau 3 de l’architecture OSI, offre un service non fiable de remise de paquets IP.
Il fonctionne en mode dit de «best effort», c'est-à-dire qu’il fait au mieux en fonction du contexte et la livraison de paquets n’est pas garantie. En fait, aucune qualité de service ne l’est et il n’y a donc pas de reprise sur erreur. Ainsi un paquet peut être perdu, modifié, dupliqué, fabriqué (forgé) ou remis hors séquence sans que l’émetteur ou le destinataire en soit informé. Le fait qu’une liaison logique ne soit pas préalablement établie entre un émetteur et un destinataire, signifie que l’émetteur envoie ses paquets sans en avertir le destinataire et qu’ils peuvent se perdre, prendre des routes différentes, ou arriver dans le désordre.
La prise en compte de ce manque de qualité de service a conduit à implanter dans les systèmes d’extrémité le protocole TCP (Transmission Control Protocol) qui offre un service de transport fiable en mode connecté (niveau 4 de l’architecture OSI). Le protocole TCP n’offre pas de service de sécurité à proprement parler.