Entretien : Sara Dickinson

Bonjour Sara, pourrais-tu te présenter pour les futurs visiteurs des RMLL qui ne te connaîtraient pas déjà ?

Je suis Sara Dickinson et je suis la co-fondatrice de Sinodun IT. Nous sommes une société centrée sur la recherche et le développement autour du DNS, basée à Oxford au Royaume Uni.

J’ai travaillé dans un certain nombre d’industries différentes au cours des 18 dernières années en tant qu’analyste de systèmes, développeur de logiciels et gestionnaire de projet. Au cours de la dernière décennie, je me suis concentrée sur le DNS et le DNSSEC et au cours des dernières années, j’ai été de plus en plus impliquée dans les efforts visant à promouvoir le respect de la vie privée dans le contexte du DNS.

Sinodun promeut activement les normes ouvertes et nous assistons régulièrement et contribuons à IETF, RIPE et OARC. Nous avons participé directement au développement des dernières normes du groupe de travail IETF DPRIVE (vie privée et DNS). Plus récemment, j’ai travaillé pour établir le projet dnsprivacy.org et j’ai coprésidé le premier atelier ISOC DNS Privacy plus tôt dans l’année. Je suis également un membre actif de l’équipe de développement de getdns (https://getdnsapi.net/) où je travaille principalement sur Stubby, un résolveur de "stubs" supportant le respect de la vie privée.

Tu es une professionnelle expérimentée dans le domaine de l’informatique tant sur l’aspect architecture que développement. Qu’est-ce qui t’a amené à t’investir dans le domaine du développement du DNS et de son écosystème (OpenDNSSEC, GetDNS etc) et plus spécifiquement dans les aspects sécurité et vie privée ?

Le DNS est un des composants majeurs de l’infrastructure d’Internet et est souvent ignoré ou incompris par ses utilisateurs (et même par beaucoup de professionnels). Presque toute activité sur Internet commence par une résolution DNS (et en fait plusieurs). Pourtant, la plupart des utilisateurs non techniques ne sont pas au courant de l’existence du DNS (sauf lorsqu’il ne fonctionne plus !) et n’ont aucune réelle idée de ce que cela révèle de leur activité sur Internet. La conséquence de cela est que la fuite de données personnelles au travers du DNS est extrêmement répandue.

Le protocole est vieux de 30 ans environ, mais, malheureusement, l’authentification et la confidentialité des transactions DNS n’ont pas été prises en
compte dans le design initial. Faire évoluer la prise en compte de ces points dans le DNS est tout sauf une tâche triviale, en partie à cause de la charge que représente la rétro compatibilité, mais aussi car le DNS est fréquemment soumis à une large gamme d’attaques. Par exemple, le groupe de travail DNSOP de l’IETF a publié douze nouvelles RFCs dans les dix-huit derniers mois seulement et un travail important se poursuit sur ces sujets.

La partie de l’infrastructure DNS la plus difficile à maintenir et à faire évoluer est celle du "dernier kilomètre", la partie cliente présente sur nos terminaux (PC, smartphones). Selon toi, quel est le meilleur chemin pour obtenir une résolution DNS sûre et respectueuse de notre vie privée sur nos terminaux ?

Le problème se divise ici en deux parties. Sur la partie cliente, je pousserais les développeurs de systèmes d’exploitation à travailler de manière plus étroite avec les personnes fournissant actuellement des implémentations DNS afin d’intégrer de nouvelles solutions DNS évoluées. Le DNS est en fait un protocole très subtil et ce type de collaboration est la clé selon moi pour obtenir une solution logicielle fiable et fonctionnant correctement pour les utilisateurs finaux.

La seconde partie du problème réside dans le fait que nous devons avoir confiance dans le fournisseur de service DNS que nous utilisons, sinon la partie cliente du DNS pourra être compromise lors de la communication du résultat de la requête à l’utilisateur. Par exemple, les fournisseurs de service DNS devraient fournir des résolveurs DNS implémentant DNSSEC et devraient afficher clairement leur politique en matière de gestion de données.

Tu travailles depuis des années au sein de l’IETF. Dirais-tu qu’il est aisé de travailler, de collaborer et de porter des sujets au sein de l’IETF (sur le périmètre du DNS) ou, comme cela est souvent rapporté par des membres de groupes de travail d’organisations comme le W3C, te plaindrais-tu de l’attitude vis-à-vis de la standardisation de certains contributeurs issus de grosses structures, attitude du type "Suivez-nous ou pas, de toute façon nous le sortirons" ?

Je pense que le DNS est moins sujet à ce problème que d’autres protocoles par la nature même de ses déploiements. Il est vrai malgré tout que, souvent, certains groupes de travail peuvent être dominés par un petit groupe de personnes et il peut être intimidant de s’impliquer pour la première fois. Je souhaiterais qu’il existe de meilleurs procédés pour inclure les nouveaux participants dans le processus de normalisation au travers du tutorat ou d’un modèle d’introduction.

Pour le DNS, le hackaton de l’IETF est devenu une activité très importante pour la collaboration entre les différents fournisseurs et des avancées significatives ont pu être faites au travers de ce moyen.

En tant que membre de groupes de travail au sein de l’IETF, mais aussi en tant qu’experte en informatique, quels avantages, mais aussi inconvénients s’ils existent vois-tu dans les logiciels libres ou dans leur processus de développement ?

Pour le DNS, avoir des logiciels libres est critique pour la robustesse et la diversité. Il y a quelques années BIND dominait le marché du DNS en open source, mais désormais il existe une palette d’implémentations DNS open source alternatives qui ont fait leurs preuves. C’est une pratique commune d’utiliser plus d’une implémentation lors d’un déploiement. C’est une situation bien plus saine pour l’industrie et cela permet aussi d’avoir une plus grande liberté pour le développement de nombreuses fonctionnalités expérimentales et de protocoles, chose qui n’arriverait peut-être pas autrement.

De manière intéressante, de nombreuses implémentations open source ont migré vers des licences copyleft afin de protéger leur propriété intellectuelle alors que certaines sociétés fournissaient des matériels basés sur des implémentations open source. De nombreuses questions se posent sur le modèle de développement permettant la création de logiciels DNS dans le futur.

Ton intervention au sein du thème Sécurité des RMLL sera sur la confidentialité au sein du DNS. Quelles attentes as-tu pour ta conférence et plus généralement pour le temps que tu passeras aux RMLL ?

Mon but principal est d’augmenter la prise de conscience de la communauté sur la large palette de soucis existant autour de la confidentialité du DNS et de convaincre les gens que la situation est en train de changer avec des solutions à ces soucis. Il ne s’agit cependant que d’une partie d’un problème plus global qu’est la surveillance de masse. Je souhaite donc obtenir une meilleure vision des efforts en cours sur ce sujet.
Merci beaucoup Sara et rendez pour ta conférence Mercredi 5 Juillet 2017 aux RMLL.