Le rapport de l’observatoire de la résilience de l’Internet Français

L’observatoire de la résilience de l’Internet français définit et mesure les indicateurs représentatifs de la résilience pour favoriser l’adoption la plus large possible des bonnes pratiques. Pour ce faire, il compile et met en relation dans un rapport annuel les valeurs, indicateurs et les bonnes pratiques associées, à la lumière des résultats de l’année précédente.

Cette nouvelle édition du rapport de l’Observatoire est l’occasion de revenir sur l’état de la résilience de l’Internet français durant l’année 2016. Il s’agit du sixième rapport de l’Observatoire rédigé par l’ANSSI.

L’analyse de la résilience s’est axée sur les analyses suivantes:

– BGP, qui est le protocole permettant l’acheminement des données grâce aux annonces de routage ;

– DNS, qui permet, notamment, de réaliser la correspondance entre un nom de domaine et une adresse IP ;

– SSL/TLS, qui est le protocole mis en œuvre pour protéger les communications entre un internaute et un serveur web ;

– vecteurs potentiels d’attaques DDoS en France.

Parmi les faits notables :

– les signatures de certificats HTTPS avec l’algorithme SHA-1 ont quasiment disparu des sites en .fr au profit de signatures SHA-2. La forte implication des navigateurs web dans le signalement des risques induits par SHA-1 a eu un impact significatif sur cette tendance ;

– la situation concernant l’application des bonnes pratiques d’exploitation pour IPv6 tend à stagner malgré un nombre croissant d’acteurs. L’observatoire déplore le fait que l’application des bonnes pratiques vue en IPv4 est moins systématique en ce qui concerne IPv6 ;

– les signalements de potentiels vecteurs d’attaques DDoS aux opérateurs portent leurs fruits. Toutefois, l’application des correctifs se fait exclusivement sur les parcs d’équipement en place, et pas à venir. Le nombre de vecteurs d’attaques DDoS diminue bien, mais moins qu’attendu.

L’observatoire renouvelle ses encouragements aux acteurs de l’Internet concernant l’appropriation des bonnes pratiques d’ingénierie admises pour les protocoles BGP, DNS, TLS, et d’être vigilants en ce qui concerne les protocoles pouvant être exploités dans le cadre d’attaques DDoS.

D’autre part, l’observatoire énonce les recommandations suivantes :

– surveiller les annonces de préfixes et se tenir prêt à réagir aux usurpations ;

– diversifier le nombre de serveurs SMTP et DNS afin d’améliorer la robustesse de l’infrastructure ;

– appliquer les bonnes pratiques notamment celles rappelées dans ce document, pour limiter les effets des pannes et des erreurs d’exploitation ;

– poursuivre les déploiements d’IPv6, de DNSSEC, et de la RPKI, afin de développer les compétences et d’anticiper d’éventuels problèmes opérationnels ;

– anticiper les attaques DDoS en acquérant une solution de dépollution ou souscrire à une offre via un prestataire.

consulter le rapport 2016 de l’observatoire de la résilience de l’internet français*

Résilience de l’Internet- Rapport 2016

Les précédents rapport

Résilience de l’Internet – rapport 2015

Résilience de l’Internet – rapport 2014

Résilience de l’Internet – rapport 2013

Résilience de l’Internet – rapport 2012

Résilience de l’Internet – rapport 2011

*Des guides techniques aux recueils de bonnes pratiques élémentaires en passant par les infographies, l’agence autorise le téléchargement, le partage et la réutilisation de ces informations dans le respect des conditions de réutilisation de l’information publique ou de la Licence ETALAB qui prévoient la mention explicite de l’auteur, de la source et de la version de l’information.