SCION: une architecture Internet de pointe?

SCION offre plus de sécurité, de fiabilité et de contrôle lors de la transmission de données sur le réseau. Mais l’architecture Internet sécurisée ne résout pas encore tous les problèmes d’Internet.

Texte: Daniel Bertolo, publié le 14.03.2022

La numérisation exige aujourd’hui plus que jamais des réseaux sécurisés et faciles à contrôler. Toutefois, les fondements d’Internet datent du siècle dernier. Il a été développé sans mécanismes de sécurité particuliers et n’a guère été retravaillé depuis, ce qui le rend vulnérable. Les cybercriminels exploitent aujourd’hui les failles à tel point que la prévention et l’élimination des cybermenaces dans les entreprises constituent désormais des défis informatiques prédominants. Ce constat concerne non seulement les nombreux risques de sécurité, mais aussi les aspects liés au réseau de transport. Par conséquent, il est grand temps que les choses évoluent. SCION (Scalability, Control, and Isolation On Next-Generation Networks) apporte précisément cette mise à niveau. SCION combine les facteurs de sécurité, de fiabilité et de contrôle des réseaux privés avec la flexibilité de l’Internet public. Cette technologie est développée depuis plus de dix ans à l’EPF de Zurich. SWITCH accompagne le développement depuis 2015 déjà.

L’Internet tel qu’il devrait être

SCION promet beaucoup: plus de sécurité, une fiabilité accrue et un contrôle du chemin par les systèmes finaux. Pour pouvoir classer correctement ces améliorations, il vaut la peine d’approfondir le sujet. Le concept de base le plus important est de comprendre ce qu’est SCION en soi: un protocole de routage inter-domaines. Il relie les réseaux (Autonomous Systems; AS) entre eux sur Internet et est destiné à remplacer le Border Gateway Protocol (BGP). Le BGP est aujourd’hui le protocole standard utilisé par les fournisseurs d’accès à Internet pour s’échanger des informations de routage. SCION ne propose pas de protocole de routage au sein même d’un AS. Les FAI continuent d’y utiliser les protocoles habituels tels que OSPF ou IS-IS. Cela signifie que bon nombre des avantages de SCION mentionnés plus loin dans le texte ne se manifestent qu’avec des connexions qui traversent plusieurs réseaux.

Outre le protocole SCION proprement dit, de nombreux autres systèmes qui promettent des fonctionnalités supplémentaires ont été développés. Il s’agit notamment de Lightning Filter comme système de pare-feu ou de COLIBRI, qui promet un Internet plus équitable grâce à des réservations globales de bande passante.

Il existe de nombreux concepts Internet inédits et extrêmement intéressants. Mais il manque à la plupart d’entre eux la possibilité d’une coexistence à long terme avec l’Internet existant. Il est illusoire de vouloir couper l’Internet existant et de lancer un nouveau concept à la place. SCION offre ici des avantages décisifs. SCION peut utiliser l’Internet existant comme moyen de transport. Dans le cas le plus simple, comme réseau Overlay superposé au réseau IP. Au fur et à mesure de sa diffusion, des parties de plus en plus importantes des chemins pourront alors être réalisées avec des connexions SCION. Un autre avantage conceptuel à mettre au crédit de SCION est l’attention portée dès le début du développement à ce que tous les acteurs puissent bénéficier d’avantages. 

Plus de sécurité et de confiance

L’un des concepts de base importants de SCION est l’introduction de ce que l’on appelle les Isolation Domains (ISD). Un ISD se compose de plusieurs réseaux (AS) et constitue une base de confiance commune. Les réseaux d’un ISD utilisent une autorité de certification commune pour signer cryptographiquement le trafic de données. Grâce à ces signatures, le destinataire d’un paquet peut vérifier si le paquet a pris le bon chemin et s’il a été modifié en cours de route. Cette Root of Trust est formée au sein de chaque ISD et ne nécessite pas d’autorité de confiance globale.

Plus de contrôle et de nouvelles possibilités

Une autre tâche d’un ISD est de propager des informations sur les chemins disponibles vers les réseaux de l’ISD. Ces informations sur les chemins permettent aux systèmes finaux de déterminer, dès l’envoi, sur quel chemin le paquet doit être transporté. S’il incombait jusqu’à présent aux FAI d’acheminer le trafic de manière optimale selon leurs souhaits, SCION déplace ce contrôle vers les systèmes finaux et les applications. En plus de ce changement de paradigme, le contrôle du chemin offre la possibilité de sélectionner un chemin selon certains critères. Les chemins peuvent actuellement être sélectionnés en fonction de la latence, de la bande passante ou de l’émission de CO2. Pour cela, il faut toutefois que les applications concernées parlent le langage de protocole SCION. Mais il reste encore beaucoup de travail avant d’y parvenir.

Outre le contrôle du chemin, SCION offre également la possibilité d’utiliser plusieurs chemins simultanément. Ce Multipathing présente certains avantages. D’une part, les ressources existantes en matière de bande passante sur Internet peuvent être mieux utilisées. D’autre part, le protocole permet également une commutation très rapide en cas de défaillance de certains chemins.

SCION n’offre toutefois pas seulement de nouvelles fonctionnalités, mais aussi une sécurité accrue. Par exemple une protection contre certaines attaques DDoS. Le routage basé sur la source, combiné à la signature cryptographique, rend déjà impossible, de par sa conception, la falsification d’une adresse d’expéditeur. Les attaques par amplification, très répandues, sont ainsi bloquées dès le départ.

Un travail de longue haleine

Mais SCION n’est pas simplement la panacée à tous les problèmes d’Internet. La technologie se heurte aux problèmes habituels des idées innovantes: diffusion, savoir-faire et standardisation. De plus, SCION introduit tout d’abord une complexité supplémentaire dans une infrastructure de base aujourd’hui indispensable. Ces risques nouvellement créés doivent être soigneusement mis en balance avec les avantages obtenus. Ces questions ont été traitées ces dernières années par les développeurs de l’EPF de Zurich autour d’Adrian Perrig.

Actuellement, il s’agit pour SCION de trouver une diffusion aussi rapide que possible. Car seule une diffusion importante et globale permettra à une large base d’utilisateurs de profiter pleinement des avantages de SCION. Et ce n’est qu’avec la disponibilité des avantages que les scénarios d’application nécessaires seront découverts. Il s’agit maintenant de remédier à ce problème de l’œuf et de la poule. Dans le réseau des hautes écoles de SWITCH, nous proposons par exemple SCION depuis l’année dernière aux organisations affiliées sous forme de service lié à la connexion réseau existante. Nous avons fixé les barrières à l’entrée aussi basses que possible afin d’encourager la diffusion. En attendant, SCION reste une option valable pour les groupes d’utilisateurs fermés, composés d’une base hétérogène. C’est par exemple le cas du Secure Swiss Finance Network (SSFN).

Malgré toutes les difficultés, je pense que SCION a le potentiel pour surmonter ces obstacles. Il existe de nombreuses bonnes raisons de tester SCION et d’en explorer les possibilités. Et c’est ainsi que de nouveaux scénarios d’application seront découverts.

Liens

SWITCHlan SCION Access

SCION

Secure Swiss Finance Network

L'auteur
Daniel   Bertolo

Daniel Bertolo

Après ses études en informatique à la Haute École de Rapperswil, Daniel Bertolo est venu chez SWITCH en 2007. En qualité de System Engineer dans l'équipe réseaux, il était responsable des systèmes optiques de transmission et de SWITCHconnect. Depuis mars 2013, il est chef d'équipe de Network.

E-mail

#Security

Cet article a été publié pour la première fois sur inside-it.ch et inside-channels.ch (en allemand) dans le cadre de la rubrique #Security de SWITCH. Cette rubrique paraît six fois par an. Les experts en sécurité de SWITCH s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.