Où et comment tout s'articule.

Préambule

Dans cet article destiné à tous ceux qui ne sont pas familiers avec le microcosme de l'internet technique et administratif, je passe en revue les principaux acteurs (fonctionnels) du net, et j'explique comment ils s'articulent. Le but est de décrire la place et le rôle de chacun, ainsi que les relations, les dépendances, et éventuellement les enjeux qui en découlent.

De nombreux ajouts viendront sans doute compléter l'article initial malgré sa taille, au fur et à mesure que certains aspects auront besoin d'être explicités.

Le centre d'internet

Quand je serai doué avec un logiciel de création graphique, je ferai sans doute une grande carte qui ressemble à cette fameuse représentation du noyau Linux, des librairies et des packages qui forment les distributions autour, en anneaux concentriques. Mais internet c'est bien connu, est a-centré, non seulement géographiquement mais aussi organisationnellement. Il n'est pas sensé y avoir de centre, ni de dépendance forte à une organisation qui fournirait une fonction essentielle.

Pas de centre géographique

Internet a été conçu et au moins au début, construit pour résister aux guerres et aux avaries. A cette fin sa conception a tout de suite opté pour une structure de réseau maillé qui n'a pas de centre, donc pas de point stratégiquement hypersensible.

Lors de son déploiement hors du cadre de la défense Américaine et par suite au reste du monde, le principe a perduré et ce sont développés des réseaux publics parfois, privés souvent, mais aussi de nombreuses interconnexions, souvent directes et privées entre les principaux opérateurs de manière à éviter ce qu'on appelle les « Single Point of Failure » c'est à dire les passages obligés qui seraient critiques pour le fonctionnement de l'ensemble.

Construire ce genre d'architecture redondante a un coût cependant, et bien souvent les opérateurs ont fait des choix économiques qui réduisent ce maillage et limitent les capacités de résilience de l'ensemble. Les point d'interconnexion entre opérateurs sont donc à la fois les charnières du réseau des réseaux, à la fois rares et sensibles.

L'a-centrisme d'internet résulte de l'existence de ces charnières, et de la multitude d'opérateurs parmi lesquels il n'existe administrativement parlant (mais commercialement tout de même) de hiérarchie.

Pas de centre organisationnel

Fonctionnellement parlant, Internet fonctionne avec des adresses dites IP (pour « Internet Protocol ») qui sont des ressources publiques. Elles sont gérées par une entité américaine, l'ICANN (et plus spécifiquement en son sein, l'IANA). L'ICANN est une structure à vocation « non lucrative » comme on dirait en France, supposée neutre et autonome (tout le monde n'en est pas persuadé mais le sujet est un peu complexe pour être traité ici).

Gestion des ressources internet

Mais surtout l'ICANN délègue largement ses responsabilités exécutives de gestion des ressources internet à des entités régionales que l'on appelle des Regional Internet Registry, et parmi eux, le Ripe NCC qui fait autorité pour la zone Europe. Structure « non commerciale » de droit Néerlandais, le Ripe maintient des politiques neutres pour la gestion des ressources, et son œuvre la plus visible est la fameuse base de données publique accessible avec le trivial protocole Whois et qui décrit comment ces ressources sont utilisées.

Le Ripe lui-même délègue une bonne partie du travail à des registres dits locaux « Local Internet Registry » qui sont ses membres, et se comptent un peu au-delà de huit mille actuellement. Ce sont ces LIRs qui font l'essentiel du travail, que le Ripe ne contrôle que de manière occasionnelle.

L'attribution (le terme technique serait plutôt « assignation ») de ressources internet se trouve donc administrativement encadrée et réglementée, mais dans les faits elle ne relève pas d'une décision centrale et surtout, arbitraire.

Gestion de l'espace de nommage

«wikilulu.net», c'est en fait «wikilulu.net.» la différence est subtile, il y a un point en plus à la fin, mais il est important parce qu'il désigne la racine du Domain Name System c'est à dire le mécanisme qui permet de traduire «wikilulu.net» en une vraie adresse Internet, numérique.

Ce système là est forcément hiérarchisé (hélas) pour qu'il existe un espace de nommage et un seul. Donc un internet et un seul, pourrait-être tenté de simplifier (mais Internet ce ne sont pas des noms, ce sont des adresses, et les adresses sont gérées au paragraphe d'au-dessus : ICANN, IANA, Ripe, etc.)

On ne parle ici plus que d'un service (certes important et omniprésent) qui est la résolution de noms (sur internet). Je ne connais pas la vraie adresse internet de wikilulu.net (je l'oublie tout le temps en fait), mais fort heureusement nous sommes loin de tomber ici dans le risque de voir internet centralisé. Parce que la racine n'est pas une, mais en fait multiple et disséminée à travers le monde donc très solide, parce que son travail est en fin de compte très réduit parce qu'on a rarement besoin de remonter aussi loin, et que des milliers de serveurs conservent les données et répondent la plupart du temps. Ceux qui ont tenté d'attaquer le système ce sont ridiculisés, même en 2012 dernièrement, on n'est pas sur que l'attaque ait réellement eu lieu.

Le DNS est donc ce qu'il y a de plus centralisé dans les services essentiels à l'utilisation habituelle d'internet, et c'est en fait un service, multi-centré, et très costaud.

Pas de route obligée

Alors là sincèrement, il faut bien reconnaître que quand un dictateur veut réprimer sa population tranquille, ou quand une « grande démocratie populaire » veut contrôler l'information qui entre et sort du pays, on a des situations où le choix n'existe plus, avec bien souvent un opérateur monopolistique tenu d'une main de fer par un système politique qui ne voit internet que comme une gène. Alors effectivement, pas le choix, la route est contrainte et même sévèrement filtrée. Mais si on y regarde bien, peut-on dire en pareil cas qu'on est toujours en train de parler d'internet ? Probablement pas.

Dans le reste du monde la règle (quand les opérateurs veulent bien la respecter, ce à quoi il faut veiller sans relâcher) est celle de la neutralité des réseaux. Les flux circulent dynamiquement, sans filtrage, sans examen sur les contenus véhiculés, de réseaux en réseaux en suivant les routes les plus intéressantes. Cet adjectif désigne une notion qui est relative à chaque opérateur, mais de pair en pair, les données transitent. Le protocole automatique qui permet que tout cela se fasse, c'est Border Gateway Protocol.

Grâce à lui, le chemin pour acheminer des informations d'un point A à un point B, est non seulement déterminé automatiquement, mais aussi est ajusté, si besoin dévié, lorsque le besoin s'en fait sentir. Un lien coupé ici ; on passe par là : le réseau s'adapte à ses propres pannes, il y a toujours plusieurs solutions, et donc encore une fois il n'y a pas de point de blocage.

Et le reste ?

Dans le reste il y a deux choses.

Les autres services, qui en plus d'être des services (donc pas internet mais des outils sur internet) n'observent parfois même tellement pas la nécessite d'être distribués, redondants, indépendants ni les principes d'internet comme la capacité d'opérer en pair à pair, en client/serveur qu'il relèvent à peine d'internet. À un bout de l'échelle, le service de temps (pluri-centré sur des horloges atomiques). À l'autre bout, Skype ou Facepook, centralisés, fermés et propriétaires.

L'autre chose qui pourrait nuire à l'absence de centre, donc de contrôle sur internet, c'est la force d'un état. Et parmi eux, celui qui représente de par sa position historique le plus grand danger c'est celui des États-Unis d'Amérique, qui a le pouvoir de contrôler une partie énorme de l'espace de nommage actuel (avec les .com, les .net et les .org), mais qui a aussi sur son territoire et sous son droit, l'ICANN. Là aussi la vigilance est donc nécessaire, et des exemple récents ont montré qu'elle était nécessaire.

Et nous ?

Dans une approche fonctionnelle, la seule composante dont on peut dire qu'elle est centrale, à défaut d'être centralisée, finalement c'est nous. Nous sommes l'alpha et l'omega de tout trafic, la raison d'être de chaque flux, tous les services sont faits pour nous, la limite externe d'internet est constituée des écrans et claviers qui nous font face.

Vous me direz que j'abuse : nous ne sommes pas des adresses IP. Nous utilisons internet, nous n'en faisons pas partie. Mais sur internet, d'une part, nous ne sommes que ce que notre adresse IP semble faire (et parfois c'est pas nous d'ailleurs) et d'autre part si nous n'existions pas, cette adresse IP n'existerait pas. Donc si internet n'est qu'une partie de nos usages, nos usages sont bien la totalité de ce qui se passe sur internet.

Le centre d'internet c'est nous. Et donc le premier cercle, autour de nous, ce sont les fournisseurs de services.

Tout autour de nous

Tout autour de nous s'agglomèrent, en couches successives, des prestataires de services dont la somme des fonctions permet de constituer, d'une source à une destination quelconques, une chaîne complète capable d'acheminer l'information.

La première couche est celle des fournisseurs de services (qui fournissent le modem pour l'accès, ou bien stockent vos données). La seconde couche est celle des opérateurs, qui gèrent les routes et les interconnexions à travers le monde. Ensuite, presque déjà invisible pour l'utilisateur, les opérateurs d'infrastructure (ou opérateurs d'opérateurs). Et sur un autre plan, les autorités et les services essentiels qui ont déjà été évoqués plus haut, mais qui interagissent parfois fortement avec couches que je viens de décrire.

Ces couches sont rarement hermétiques, parce que très souvent les acteurs commerciaux préfèrent tenir plusieurs rôles pour faire des compromis plus ou moins pertinents. L'exemple le plus évident est celui d'un opérateur historique qui détient à la fois les infrastructures, est opérateur (puissant), est fournisseur d'accès mais aussi d'autres services. Cet opérateur-là mélange les rôles et peu à peu compromet son inter-opérabilité avec le reste d'internet. il le sait, ça ne le gène pas du tout, mais cela compromet non seulement le choix pour ses propres utilisateurs (clients), mais aussi leur capacité à accéder à l'ensemble d'internet, et ce n'est pas un hasard si ses publicités ne vantent plus « internet » mais « internet selon lui. »

Ces couches pourraient en théorie être indépendantes. Entrons un peu dans le détail, et profitons-en pour vous quelles sont les technologies les plus couramment employées, et à quel usage.

Les fournisseurs de services

Les fournisseurs de services sont toujours ceux avec qui nous sommes en contact direct, sauf dans des cas très rares. Il est rare qu'un fournisseur se contente de fournir un seul service, pourtant les plus importants sont assez nettement typés, et on distingue souvent bien les fournisseurs d'accès des fournisseurs de contenus.

Les fournisseurs d'accès attirent majoritairement du trafic, parce que les utilisateurs connectés sont pour l'essentiel des lecteurs. Dans le jargon des opérateurs on les appelle des «paires d'yeux» (eyeballs). En réalité les utilisateurs (particuliers ou professionnels sont à l'origine de tout le contenu, mais du fait de l'asymétrie de la technologie d'accès dominante, et des performances des serveurs, il est souvent plus efficient de mettre ses données (son site web par exemple) chez un hébergeur. Les hébergeurs ou «fournisseurs de contenus» émettent donc, eux, essentiellement du trafic. Pourtant ce sont bien les utilisateurs qui le lisent en faisant des requêtes, mais les réponses aux requêtes sont bien plus volumineuses que les réponses. On observe donc globalement un trafic très déséquilibré des hébergeurs vers les FAI.

Fournisseurs d'accès

Si vous accédez à internet, alors vous avez un fournisseur d'accès internet (FAI). Le fournisseur d'accès a probablement conclu un contrat avec vous (même si c'est une association), qui dit que vous le rétribuez en échange d'un service de connexion à internet, en utilisant telle ou telle technologie (fibre, câble coaxial, Wifi, ADSL, SDSL, satellite, réseau téléphonique commuté, etc.) et avec tel ou tel débit, garanti ou pas, etc.

La définition d'internet selon les fournisseurs d'accès est très variable (mais internet est-il défini dans votre contrat ?) Par exemple si vous avez accès via le réseau GSM, bien souvent vous aurez un accès à internet très limité : une partie d'internet sera inaccessible, certains protocoles (donc services) seront bridés voire interdits, et dans bien des cas vous n'aurez même pas une véritables adresse sur internet (donc personne ne vous verra, ce qui est complètement incompatible avec la définition d'internet). Alors qu'en ADSL, vous aurez potentiellement un accès entier à Internet (mais ce n'est pas le cas le plus répandu en France), mais il sera asymétrique, et vous serez probablement victime d'entorses à la neutralité du réseau. Très rares sont les fournisseurs d'accès qui garantissent cette neutralité.

Les fournisseurs d'accès sont supposés mettre à disposition de leurs utilisateurs au moins une adresse internet publique (c'est à dire une adresse routage sur internet) qui leur est directement attachée (donc sans transformation intermédiaire, type Network Address Tranlation). Ils obtiennent ces adresses d'un LIR (voir plus haut) ou directement d'un RIR, et pour que le trafic puisse s'acheminer sur internet ils doivent les faire router par un opérateur (voir plus bas). Il n'y a a priori pas de nécessité que le LIR et l'opérateur soient le même acteur (cela dépend aussi du type d'adresses), et il faut mieux éviter pour que ces deux services ne soient pas inutilement liés ce qui pourrait poser un problème d'indépendance du FAI par rapport à l'opérateur.

RTC

Les technologies utilisées sont nombreuses : l'accès se fait historiquement avec un modem sur le réseau téléphonique commuté (RTC), avec une limite à 56 kbps. L'accès internet par RTC présente un débit symétrique, mais outre sa lenteur son principal inconvénient est d'utiliser les fréquences vocales de la paire de cuivre ce qui empêche l'utilisation simultanée du téléphone.

xDSL

Pour les plus chanceux, l'ADSL a été déployé à proximité, c'est la technologie privilégiée en France par l'opérateur historique (après qu'il ait du renoncer à promouvoir son Minitel), et par aveuglement (et considérations commerciales) par ses « concurrents » aussi, ensuite. L'ADSL a connu plusieurs versions, et propose des débits jusqu'à 20 Mbps descendants, 1 ou 2 Mbps montants, ce qui en fait par essence un accès destiné aux consommateurs, et non à ceux qui voudraient produire ou proposer des services sur internet.

Pour les entreprises, une simple répartition différente des fréquences utiles sur le support a permis de créer le SDSL, qui lui, est symétrique.

Le schéma global d'un accès ADSL est le suivant :

  • une paire de cuivre louée à l'opérateur historique (ligne téléphonique classique) arrive chez l'utilisateur
  • sur la paire de cuivre, maximum quelques kilomètres et jusqu'au NRA (raccordement au DSLAM) : ADSL
  • ensuite, les données sont encapsulées en L2TP pour être transportées par l'opérateur qui possède le DSLAM et effectue la collecte, c'est à dire l'acheminement jusqu à l'étape suivante
  • enfin, elles sont livrées au FAI (potentiellement pas le même qui a réalisé la collecte) qui décapsule L2TP et établit avec l'utilisateur une liaison logique point à point, c'est le moment où l'utilisateur reçoit une adresse internet
  • au-dela, le FAI traite avec les acteurs décrits (plus bas) pour acheminer le trafic de (et vers) l'utilisateur sur internet

Les opportunités pour des petits FAI de développer une offre ADSL sont assez minces, d'autant que les opérateurs de collecte ne proposent pas de solution pour livrer localement le trafic local, ce qui entrave l'apparition de FAI réellement locaux et tend à faire systématiquement remonter tout le trafic à Paris.

Wifi

C'est la technologie par excellence pour les FAI alternatifs, car elle se déploie sans qu'il soit besoin de réaliser des investissements conséquents en infrastructures, et permet d'avoir une indépendance totale vis à vis des autres acteurs. Des FAI locaux mais notables se sont déjà déployés grâce à cette technologie.

Le déploiement est est par contre très contraint par le terrain (obstacles naturels, immeubles, zones d'activité radar), et souffre de ce que les fréquences Wifi (autour de 2,5 GHz et 5 GHz) sont publiques donc très exposées à des interférences. L'usage de ces fréquences est cependant réglementé, en particulier les bornes doivent se conformer à des limitations de puissance.

Enfin le Wifi permet aux FAI de démarrer une activité réellement locale, plus favorable au développement d'internet de manière a-centrée, et d'encourager le dynamisme et le développement locaux.

La technologie Wifi est simple, elle permet de constituer un réseau de transport et presque immédiatement de niveau 3 donc de mettre en œuvre internet sans avoir à encapsuler et transporter le trafic sur de longues distances.

Plus rares

Les autres technologies sont plus rares. Le satellite permet de couvrir des zones très isolées, mais les offres sont rares, très spécifiques et très chères. Le coaxial a essentiellement été utilisé par un opérateur parisien et est en perte de vitesse.

La fibre est l'enjeu du siècle en terme de déploiement numérique, avec une équation complexe sur les besoins et les usages en tenant compte de la durée de vie de ces installations. De très rares chanceux en bénéficient actuellement mais le déploiement du très haut débit ne va-t-il pas aggraver la fracture numérique ?

Les fournisseurs de contenus

Le « contenu » ce sont les données qui sont à disposition sur des serveurs. Elles émanent toutes des utilisateurs : dans les débuts du Web c'étaient surtout les sites publics, les sites Web perso, ensuite sont venus les sites commerciaux. Mais on trouve aussi des contenus indirects, comme les moteurs de recherche qui sont des méta-données mais contiennent une information.

Les fournisseurs de contenus stockent et transforment les données. Avant que le Web devienne populaire (début des années 90), des contenus s'échangeaient couramment de manière asynchrone : le mail et les news permettaient aux données de transiter par à-coups de serveur en serveur et ainsi les news se propageaient. Avec le Web, les utilisateurs passifs sont devenus bien plus nombreux et ils ont trouvé bien plus pratiques les sites sur lesquels l'information était présentée graphiquement et directement disponible. Mais les accès RTC étant impermanents, ne permettaient pas de mettre à disposition des contenus depuis chez soi, il fallait donc les stocker sur des serveurs qui eux, étaient accessibles en permanence. L'ADSL n'a guère permis de corriger la tendance, de fait de son asymétrie (un choix purement commercial, le FAI historique ayant préféré voir dans l'utilisateur un consommateur de Web plutôt qu'un créateur qui diffuserait sa pensée ou sa création).

Ainsi le FAI a-t-il favorisé, plus ou moins volontairement, l'émergence de l'hébergeur auquel il reproche aujourd'hui d'avoir avec ses «paires d'yeux» des échanges de trafic très asymétriques.

Il n'y a rien de particulier dans les technologies habituellement employées par les hébergeurs, à la base. Par exemple un environnement LAMP (Linux, Apache, MySQL, PHP) est tout ce qu'il y a de plus commun, et de nombreux logiciels (libers notamment) de gestion de contenu (Content Management System) ont vu le jour pour aider les petits hébergeurs à faire leur travail. De plus gros ont récemment déployé des techniques qui permettent de virtualiser les serveurs, jusqu'à en faire de gros nuages appelés «cloud» et qu'on met à toutes les sauces, c'est très à la mode d'avoir ou d'utiliser un cloud. Dans le cloud on mutualise, ou bien on recrée des serveurs plus petits (mais plus souples à gérer que des serveurs physiques), qu'on utilise normalement.

Pourtant le réseau semble ne pas suivre. Seuls quelques hébergeurs majeurs ont un Content Delivery Network (CDN), c'est à dire un réseau en propre qui permet de mettre au plus près des utilisateurs lecteurs, des copies locales qui sont plus rapidement accessibles que si l'information était accessible à un seul endroit depuis toute la planète. Ceci demande de disposer d'un véritable réseau, partiellement dédié, ce qui n'est pas dans les moyens de tout le monde et impose par nature d'être aussi un opérateur (voir ci-dessous), c'est donc réservé aux très gros volumes, comme la distribution de vidéo.

Les hébergeurs disposent eux aussi d'adresses internet publiques (sans quoi les contenus ne seraient pas accessibles) en bien moins grand nombre certes.

Autres services

Tous les autres services relèvent plus ou moins des deux précédents, avec des étages d'intelligence, de manipulation, ou d'ânerie par-dessus. Par fois les données sont l'essentiel (sites pornographiques), parfois ce sont les méta-données (comme dans les moteurs de recherche), c'est le réseau (comme chez certains fournisseurs d'accès associatifs), parfois c'est un mélange.

C'est là que les chose peuvent sérieusement déraper et que la vigilance redevient de mise, car les fournisseurs de services de par leur aspect commercial ont tendance à essayer de créer de la richesse avec les données qui circulent, et c'est beaucoup plus facile à faire en utilisant les données (à priori pourtant confidentielles) qui soient transitent sur le réseau soit son stockées sur les serveurs, ou en recensant les usages même si la loi interdit de conserver des données nominatives n'importe comment.

La pente glisse encore plus quand un fournisseur de service propose à la fois de l'accès et de l'hébergement, parce que la tendance est grande à rendre l'accès à son propre contenu (éventuellement payant) plus aisé et confortable pour les utilisateurs à qui on fournit l'accès, qu'au contenu des concurrents. C'est un enjeu très évident de la neutralité du réseau.

Aujourd'hui tous les fournisseurs d'une certaine taille sont aussi des opérateurs de réseau. Le face à face des FAI et des hébergeurs peut donner lieu à des interconnexions plus ou moins houleuses, qui ne tiennent absolument pas à l'asymétrie du trafic (même si c'est le prétexte qui est toujours évoqué) mais à l'appétit commercial et à des enjeux concurrentiels entre des acteurs commerciaux.

Ce qui nous amène à présenter les opérateurs internet et à entrer dans les questions d'interconnexion.

Les opérateurs internet

Les opérateurs sont ceux qui exploitent les tuyaux dans lesquels passent les données, pour faire simple.

En fait il y a deux perceptions, en France, de ce qu'est un opérateur.

Vision administrative

La vision officielle est celle de l'autorité de régulation des communications électroniques et des postes (Arcep), qui est supposée observer et réguler les pratiques et marchés, notamment du fait de l'existence d'opérateurs puissants dont un, opérateur historique, qualifié de dominant voire surpuissant ; et tout cela bien entendu dans le but d'une concurrence non faussée et dans l'intérêt du consommateur.

Bref, l'Arcep entend par «opérateur» toute entreprise qui utilise des moyens de communication électronique pour faire passer des données publiques. Elle distingue deux catégories : ceux qui proposent des services de communication au public, et ceux qui exploitent des réseaux de communication ouverts au public. Ce découpage fait tomber les FAI dans la première partie, les opérateurs internet et les hébergeurs dans la seconde.

Les «opérateurs selon l'Arcep» doivent se déclarer en remplissant un formulaire (converti en PDF ici) pour décrire leur activité, ce qui les expose à payer une taxe assez lourde (exemption possible en cas de chiffre d'affaire inférieur à 1 million d'euros).

La vision administrative est aussi celle qui fait foi en terme de loi bien évidement.

Vision technophile

Pour un ingénieur réseau ou un geek un tantinet averti, un opérateur est un système autonome. C'est une nouvelle vision administrative en fait, mais celle des instances qui régissent internet cette fois, c'est à dire l'CANN, l'IANA, et en Europe, le Ripe NCC.

Un opérateur selon le Ripe, c'est une entité qui maintient un réseau avec une politique cohérente vis à vis des autres, s'identifie par rapport à eux en arborant fièrement un numéro de Système Autonome (AS, prononcer «aesse»), et discuter avec ses voisins au moyen du protocole BGP. La taille, le fonds de commerce, la gestion interne, ne sont d'aucune importance.

Dans l'absolu, un opérateur (et parfois dans le métier on dit juste «un AS») pourrait se contente de maintenir et d'exploiter des réseaux sans fournir aucune valeur ajoutée (certains le font), parce que son métier est de faire transiter les données sans interférer dessus, en respect de la neutralité du réseau. Là où se situe le travail de l'AS, c'est dans la gestion des flux, à savoir leur routage, leur garantie, et donc toute la gestion d'une politique de routage ce qui inclut d'une part des interconnexions avec d'autres opérateurs, et d'autre part la livraison des clients que sont en principe les fournisseurs de services.

Les ressources internet

La première ressource internet dont a besoin un opérateur pour «opérer», c'est le fameux numéro d'AS. Sans lui, pas d'identité dans le micro-monde des opérateurs («seulement» quelques dizaines de milliers). Ce numéro d'AS est une ressource dite «indépendante» ce qui signifie qu'elle ne peut être assignée directement par un LIR (local), elle l'est directement par un RIR (régional), donc en Europe, le Ripe NCC.

Ensuite pour opérer, les opérateurs disposent eux aussi d'adresses IP publiques qu'ils obtiennent d'un LIR ou du Ripe, et très souvent ils sont eux-même LIR ce qui leur permet de gérer beaucoup plus facilement l'assignation d'adresses à leurs clients, en le faisant à partir d'un pool assez vaste que le Ripe leur a préalablement alloué (allocation). Ce pool d'adresses (souvent au départ un /19) est dit «provider aggregatable» (PA) ce qui signifie que l'AS n'a pas le droit d'en faire des annonces morcelées (en conformité avec l'objectif d'agrégation du Ripe).

Ses clients qui seraient eux-mêmes opérateurs et se serait vus attribuer par lui un petit bout de cet espace (une assignation PA) ont le droit d'annoncer au reste du monde que ce petit bout de réseau leur appartient. Mais il ne leur est pas possible de le rendre indépendant du LIR… donc de l'opérateur.

À contrario des adresses dites «provider independant» (PI) qui sont directement assignées par le Ripe aux opérateurs utilisateurs finaux (sous des conditions assez rigides, et carrément drastiques en IPv6), moyennant une convention avec le LIR qui sert ainsi toujours d'intermédiaire contractuel pour la paperasserie et pour l'application des politiques du Ripe.

Routage

Fort de ses adresses IP publiques, mais aussi et surtout de son numéro d'AS, l'opérateur met en ouvre un réseau routé qui lui permet de devenir un morceau d'internet. Les flux de données à travers sont réseau sont un sujet de préoccupation majeur pour un opérateur, ils sont la «finalité» de son réseau. Mais l'opérateur manipule essentiellement une donnée qui est différente : la route.

Les routes

Le routage sur internet fonctionne par annonce : «c'est moi qui détiens les adresses 198.51.100.0 à 198.51.100.255» par exemple. Ce qui se fait en émettant une «route» 198.51.100.0/24, ce «24» étant la longueur du masque (quel que soit l'IP dans cette route, les 24 premiers bits de l'adresse IP sont identiques car 32 - log(255 - 0 + 1)/log(2) = 24).

Les routes sont des pièces d'information de taille variable. Elles se composent à minima d'une information qui désigne le réseau dont il est question (l'exemple ci-dessus, désigné comme 198.51.100.0/24), et d'une information sur le prochain routeur (aka passerelle) à utiliser pour envoyer des données vers ces adresses. Beaucoup d'autres informations peuvent compléter cette base : des poids, des préférences, des attributs permettant de «colorer» ou affilier ces routes, des informations sur le chemin ou les intermédiaires jusqu'à la cible de cette route.

La règle communément admise et observée sur internet (mais pas garantie) est qu'en IPv4, les annonces de réseaux /24 ou moins spécifiques (/23 etc.) sont admises, mais que les annonces pour des réseaux plus petits peuvent être filtrées. Il n'est donc pas sérieux d'envisager d'être opérateur en ne disposant pas à minima d'un /24. En IPv6 le Ripe a indiqué que la limite était le /48, mais il est encore trop tôt pour vérifier que cette règle sera appliquée.

Les annonces

Les routes sont «annoncées» par l'AS qui les détient ou les héberge, et son «propagées» de proche en proche à travers tout internet (en principe). A chaque saut, chaque nouveau routeur calcule selon ses propres préférences quelle route est la meilleure (parfois plusieurs), la choisit et ne propage que celle-ci. Ce fonctionnement dynamique est la caractéristique essentielle de BGP qui est le protocole exclusif utilisé par les opérateurs pour s'échanger les routes.

Le trafic des données, lui, suit le chemin inverse puisqu'il remonte vers la sources des annonces pour rejoindre l'AS qui héberges les adresses ciblées.

Le réseau d'un opérateur peut prendre bien des formes, mais on va dans tous les cas distinguer deux domaines.

L'intérieur

A l'intérieur de son propre réseau, c'est à dire tant que le numéro d'AS des routeurs qui font transiter les données n'a pas besoin de changer, l'opérateur est libre des protocoles qu'il utilise. Certains utilisent BGP comme protocole de routage interne, mais d'autres sont dédiés à ce genre d'usage comme en particulier OSPF, dont la convergence est beaucoup plus rapide que celle de BGP.

Les routeurs internes ne sont donc pas obligés de parler BGP, mais s'ils le font, tous les routeurs portant le même numéro d'AS définissent l'opérateur au sens «opérateur internet» et doivent tous être interconnectés ensemble deux à deux (configuration «full mesh» pour que BGP fonctionne correctement).

A partir d'un certain volume, cette interconnexion complète devient difficile, et des mécanismes plus complexes peuvent être mis en jeu, soit en introduisant des AS fictifs à l'intérieur, soit en transformant la topologie interne du réseau pour en gommer la complexité (de plus en plus souvent avec MPLS).

La bordure

Les routeurs en bordure sont dit «externes» et parlent, par définition, BGP avec l'extérieur. Et potentiellement un autre protocole en interne, ce qui suppose que des échanges aient lieu entre ces protocoles, ce qui s'appelle «redistribution».

Les routeurs externes peuvent se trouver face à une configuration simple et n'avoir qu'une table de routage assez simple. Par exemple certains se contentent volontiers d'une route par défaut (0.0.0.0/0, qui est une vaine promesse mais un raccourci bien pratique créé par un opérateur pour simplifier la vie d'un autre).

D'autres routeurs qui par exemple sont raccordés à un point d'échange vont devoir maintenir des dizaines voire des centaines de sessions BGP avec les autres opérateurs présents, mais n'obtiendront pour tous leurs efforts que quelques dizaines de milliers de routes.

Enfin les routeurs qui sont les principales passerelles vers l'extérieur d'un opérateur vont recevoir plus de 400,000 routes de tailles différentes, c'est ce qu'on appelle un «full feed» ou une «full table». Dans cette situation et pour satisfaire au fonctionnement de BGP, le volume de calcul peut être très conséquent et certains routeurs un peu dépassés aujourd'hui peuvent prendre plusieurs minutes pour accepter et traiter cette quantité.

Je reviens plus bas sur ces deux dernières configurations.

Les routeurs

Les routeurs sont des machines spécialisées, mais il en existe deux catégories. Pour les distinguer il faut appréhender la différence qui existe entre le «routing engine» c'est à dire la partie du calcule et gère les routes, du «forwarding engine» qui est celle qui utilise les routes transmettre (ou «forwarder») les données d'une interface réseau à l'autre.

La première catégorie est celle des routeurs dits «soft» parce qu'il font tout le travail avec un traitement logiciel. Ce sont souvent de simples PC industriels avec des interfaces réseau un peu plus sérieuses que la moyenne, et de préférence dotées d'un processeur assez costaud lui aussi. En effet il doit traiter non seulement la tenue des sessions BGP avec les voisins (potentiellement nombreux), mais aussi la réception des routes, les nombreux calculs, la tenue des tables de routes (une par session BGP en plus de la table de routage interne), mais aussi examiner chaque paquet de donnée pour le router sur la bonne interface, tout en n'oubliant pas de répondre en SSH à l'administrateur qui tolère mal que son routeur ne lui réponde pas. Il est donc peu prudent de sous-dimensionner la capacité de traitement d'un routeur BGP externe, ou de le sur-charger de tâches non indispensables.

L'autre catégorie est la plus appréciée des opérateurs, les routeurs «hard» gèrent le maximum de fonctions au moyen de circuits dédiés, en en particulier toute la partie «forwarding». De ce fait ils se contentent souvent d'avoir une petite tête, mais ils ont de très gros muscles. Ces routeurs sont fabriqués par des constructeurs étrangers, essentiellement américains à savoir Juniper, Cisco, Brocade. D'autres existent de moindre renommée, mais brillent rarement lorsqu'il s'agit de conjuguer plusieurs fonctions dans un même équipement car rapidement le processeur se voit trop sollicité pour que les performances soient au rendez-vous.

La commutation, qui est le travail habituel des «switches» est un domaine où plus de concurrence a déjà émergé (et en particulier des constructeurs chinois) notamment grâce aux facilités de développpement offertes par les FPGA et de l'essor des ASSP qui sont moins spécialisés que les ASIC.

Pour en revenir aux routeurs, le principal inconvénient des routeurs soft est leur difficulté à traiter de grandes quantités de paquets (typiques des attaques DOS), ce qui pénalise leur bande passante et la latence (le temps mis pour que le paquet ressorte du routeur) en cas de saturation. A l'inverse les routeurs hardware pêchent par leur manque de flexibilité, par la vilaine habitude qu'on les constructeurs de faire des systèmes fermés et mal respectueux des standards), par leur prix élevé et par leur extrème gourmandise en énergie. De par sa position dominante le leader du secteur, Cisco tend à être une référence obligée pour des «responsables d'achats» désireux de protéger leurs arrières plutôt que de faire des choix objectifs, avec sur certains projets un réflexe «j'achète Cisco» donc «il faut des sous» donc «demande de subvention d'investissement». Ce constructeur s'est d'ailleurs vu récemment reprocher une tendance à «centraliser» un peu trop d'informations a propos de ses équipements… Et plus généralement les équipements propriétaires sont fortement soupçonnés d'abriter des backboors pour les services de leurs pays d'origine.

Un marché de l'occasion important s'est développé pour ces matériels, avec des sociétés spécialisées dans le «refurb(ished)» et qui brassent des volumes non négligeables par rapport au marché du neuf, mais avec une qualité très intéressante.

Interconnexion

Le grand jeu pour les opérateurs internet (hormis leur tambouille interne) c'est l'interconnexion.

L'interconnexion consiste à permettre à des annonces et des données à franchir une frontière que l'opérateur établit avec son voisin. On l'a déjà vu, cette frontière est établie au moyen d'une session du protocole BGP.

Dans un monde parfait, un suffirait d'un câble et puis d'ouvrir les vannes, les annonces se propageraient à travers les réseaux, les meilleures routes seraient sélectionnées et tout serait joué. Mais la réalité est bien différente. Premièrement il y a des opérateurs qui disposent de réseaux bien plus vastes et bien plus puissants que les autres, qui peuvent traiter des trafics que d'autres ne seraient pas du tout à même d'encaisser. Deuxièmement les contenus et les «eyeballs» ne sont pas du tout équitablement répartis. Troisièmement les besoins d'un opérateur l'amènent à avoir des préférences sur les autres opérateurs avec lesquels il s'interconnecte, qui sont liées au coût de ces interconnexions, à leur qualité, à leur capacité, et même aux caractéristiques des routes qu'il reçoit par ce biais.

L'interconnexion n'est donc pas «open bar», elle est pour chaque opérateur une politique établie et qu'il peut appliquer du fait qu'il est un opérateur autonome. L'interconnexion entre deux opérateur est toujours un accord de gré à gré, parfois gratuit, souvent payant.

Le transit

Le cas général est qu'un opérateur ne dispose pas directement dans son voisinage (physique) d'une possibilité de s'interconnecter avec un autre opérateur pour échanger les données avec lui, ou bien que ce n'est pas possible : soit cet opérateur refuse (ça ne l'intéresse pas parce que ça n'en vaut pas la peine, ou bien le trafic proposé ne lui convient pas). De ce fait l'opérateur va signer avec un opérateur mieux interconnecté que lui, un contrat de fourniture de transit.

Ce contrat va lui permettre de recevoir, via une session BGP avec ce «transitaire», l'ensemble des routes vers le reste du monde (ou une simple route par défaut). C'est donc une session privilégiée (il peut y en avoir d'autres, et même il est recommandé d'avoir plusieurs transitaires ce qui est tout l'intérêt du numéro d'AS et de BGP). Tout le trafic envoyé au transitaire devra être accepté par lui et routé au moins autant qu'il le pourra à bon port. Tout le trafic confié, ailleurs, par un tiers, au transitaire pour l'opérateur client devra lui être correctement délivré.

Le transit est bien entendu un contrat payant, et il présente également le désavantage que l'opérateur qui le souscrit n'a que peu de contrôle sur les chemins empruntés (c'est le fruit de l'expérience que de choisir un bon transitaire, avec des routes plus directes, plus stables). Ces chemin peuvent être très longs et parfois faire des détours ahurissants qui rendent le trafic particulièrement mauvais. La qualité des interconnexions du transitaire est donc, avec le prix, un critère important à prendre en compte et à rapprocher du besoin à satisfaire (la téléphonie demande des latences courtes, à l'inverse d'un serveur FTP).

Le peering

Le «peering» (donc en français le «pairage» mais ce terme n'est jamais utilisé) est l'accord par lequel deux opérateurs établissent ensemble une session BGP pour échanger gratuitement du trafic.

Le peering peut se faire soit via un liens dédiés aux deux opérateurs (peering privé), soit au moyen d'un commutation qui accepte le raccordement de nombreux opérateurs qui s'en servent pour établir des sessions entre eux : peering public. Le peering public se fait sur des points d'échange (exchange point ou «GIX» pour global internet exchange).

On a vu apparaître relativement récemment la notion de peering payant, mais c'est en fait un transit partiel (vous payez mais vous n'obtenez que quelques routes). Lorsqu'un point d'échange permet l'établissement de peering payant (ou l'échange de trafic payant plus généralement) on l'appelle un point d'accès au réseau ou «Network Access Point» (NAP).

Le peering présente donc en principe l'avantage d'être gratuit (le raccordement et l'usage du point du point d'échange peuvent ne pas être gratuits par contre), mais le prix du transit qui ne cesse de chuter rend cet avantage de moins en moins évident, d'autant que pour maintenir des sessions avec de nombreux autres opérateurs il faut y consacrer un peu de temps, et que pour un routeur un grand nombre de sessions à maintenir est également coûteux (pour le processeur) donc quelque part aussi, consommateur de ressource pour l'opérateur.

Mais l'avantage certain est que les routes obtenues par le peering sont meilleures : en effet un peer n'annonce que ses propres routes et celles de ses clients, mais il ne propage ni les routes de ses autres peers (sinon ça devient du transit), ni bien sûr les routes qu'il apprend de ses transitaires. Le peering est non transitif. Il en résulte que ces routes sont courtes, si vous recevez une route pour une destination en peering, vous pouvez compter que c'est une route à privilégier.

Enfin un avantage du peering est de multiplier les interconnexions, c'est à dire de gagner en indépendance vis à vis de ses transitaires. Idéalement chaque opérateur en France devrait peerer avec tous les autres, et n'utiliser du transit que pour aller chercher des destinations lointaines.

En pratique hélas c'est impossible, parce que les gros opérateurs en France (et pas seulement) ont une politique de peering fermée, et parfois payante. Il est tout à fait clair que pour eux il vaut mieux avoir toute une myriade de petits opérateurs comme clients que comme pairs, car en plus de ne rien rapporter il faudrait supporter toutes ces sessions BGP avec eux, pour des volumes de trafic souvent dérisoires de leur point de vue. S'agissant d'opérateurs un peu moins petits, voire moyens, il peut être plus intéressant de les maintenir en situation d'interconnexion difficile, que de leur faciliter le jeu et de les aider à devenir des concurrents.

Le développement des points d'échange en France reste un vaste sujet, que j'aborderai plus bas.

Les opérateurs d'opérateurs

Cette couche concerne les infrastructures, et on sort presque de la définition d'internet. On parle ici de paire de cuivre (quasi monopole de l'opérateur historique), de Wifi, de Wimax, de fibre optique. Bref, de technologies de transport, voire même de supports physiques.

Les opérateurs d'opérateurs n'ont pas besoin d'adresses internet.

Délégations de service public

Les DSP sont supposées être des infrastructures réseau financées en partie par des instances publics (la région, la communauté de communes…) et dont l'exploitation est déléguée à un professionnel du secteur qui agira en tant qu'opérateur d'opérateurs. Une structure publique est créée pour gérer le dossier, qui s'appelle le déléguant. Le professionnel est supposé connaître le métier, en tant que délégataire, exploiter et développer le réseau qui reste la propriété du déléguant (donc la propriété publique).

Le délégataire du service public doit se comporter de manière neutre, il est supposé indépendant de tout opérateur (vaste pantalonnade en général) et avoir vis à vis des opérateurs auxquels il va vendre la capacité d'utiliser le réseau, une attitude impartiale et ouverte.

Le but du jeu est de favoriser le développement numérique sur le territoire concerné grâce à l'argent public initialement mis au pot. Les opérateurs et fournisseurs de services de toutes tailles doivent ainsi pouvoir développer une activité, et idéalement bien entendu si elle est locale, ce sont aussi des emploi donc c'est le bonheur. Un catalogue public des services de la DSP est en principe disponible pour garantir l'équité de traitement.

Dans le réalité hélas les DSP fonctionnent souvent très mal parce que les délégataires sont pilotés par des politiques qui ont des sujets de préoccupations différents et souvent plus rapprochés dans le temps que la date du renouvellement du mandat de la délégation. De plus les grands opérateurs savent «convaincre» et rafler les mandats de délégation de service public, sur lesquels il est rare qu'on observe la neutralité et l'ouverture attendus. Le résultat est que l'investissement public est exploité par le secteur privé (qui s'épargne ainsi de prendre des risques et bloquer de l'argent) mais que l'émergence d'activité nouvelle et surtout, locale, reste énigmatique. Sur certaines DSP, le délégataire décourage l'arrivée de nouveaux entrants, sape les locaux et fait la part belle à un gros opérateur qui est déjà dominant dans le pays et ne créera pas un seul emploi local.

Le tableau est un peu noir, il y a des cas où ça se passe relativement bien.

Mais je voulais plutôt prévenir que les choses ne sont pas forcément faciles sur ce genre de réseau malgré leur étiquette de réseau public : il y a des DSP sur lesquelles il est impossible de s'implanter sans passer par des courriers d'avocats, voire pire. Quand on se lance sur ce genre de réseau il faut savoir à quoi on risque d'être confronté faute de perdre beaucoup de temps et d'énergie à attendre des réponses qui ne viendront pas.

Les acteurs privés

Certains acteurs commerciaux privés jouent également le rôle d'opérateur d'opérateur. C'est le cas de la plupart de ceux qui ont de réelles infrastructures. Mais plus le réseau est maillé et apte à répondre aux besoins, plus il est cher ce qui n'est pas anormal puisqu'il est moins mutualisé qu'un tronçons par lequel tout le monde voudrait passer.

En France les acteurs capables de proposer une capillarité intéressante se comptent sur les doigts d'une main. Souvent ils sont aussi opérateurs de téléphonie. Et opérateurs IP. Et fournisseurs d'accès. Et hébergeurs. On est donc très loin de séparation théorique des rôles qui permettrait un jeu sain de la concurrence, puisque de surcroît les opérateurs puissants sur le territoire n'ont guère intérêt à voir se développer des concurrents avec la couleur et l'accent local.

En conséquence c'est souvent en s'appuyant soit sur des opérateurs plus modestes, soit sur des acteurs étrangers, que peuvent se développer les opérateurs qui voudraient se faire une place. Mais ces opérateurs d'opérateurs alternatifs n'ayant qu'une activité limitée sur le territoire français, il ne peuvent pas proposer une offre suffisamment étoffée pour couvrir l'ensemble des besoins.

On peut donc citer les réseaux insuffisants mais existants de Covage (également titulaire de quelques DSP), de Viatel, de Cogent (et ses datacenters propices à l'implantation d'opérateurs locaux), pu anecdotiques mais puissants de Level3 et de Global Crossing.

L'offre GCRCA

Du fait de sa position d'opérateur historique surpuissant, France Télécom a été contrainte d'éditer une offre publique d'accès à ses fourreaux de fibres. On y fait référence avec les initiales GCRCA pour raccourcir «offre de raccordement aux installations de Génie Civil de France Telecom pour le Raccordement des Clients d'Affaires en fibre optique».

Cette offre est une mine d'or car elle permet à n'importe qui de bénéficier de ces infrastructures et de les louer à France Telecom, ce que ne se privent pas de faire ses concurrents opérateurs puissants, mais ce qui met le raccordement optique théoriquement à la portée de tout entrepreneur local.

Reste qu'il faut satisfaire aux conditions fixées pour les entreprises sous-traitantes, et respecter le cahier des charges de France Telecom.

Les points d'échange

Les points d'échange sont supposés être des plate-formes de commutation neutres vis-à-vis des opérateurs membres. En général une charte ou une convention vient rappeler aux participants que le GIX décline toute responsabilité à propos des connexions entre eux, et des conséquences qui en résultent.

Le principe de base est donc de fournir un commutateur, et d'attribuer à chaque participant qui s'y raccorde une adresse internet publique dans la même zone de broadcast.

Des services annexes peuvent cependant enrichir ce service de base, et le plus courant est le route-reflecteur, (RR) qui accepte une connexion de chaque participant et rend possible la consultation des sessions ainsi montées (et des routes collectées) sur une interface appelée «looking glass» (LG). Lorsque de surcroit le route-reflecteur propage également les routes apprises aux routeurs connectés, on parle d'un route-serveur (RS). Ceci évite à chaque opérateur de monter une session différente pour chaque autre opérateur présent : il peut récupérer directement les routes de tous les opérateurs qui peerent avec le RS via sa seule session avec lui.

Mais lorsqu'il propage ses routes, le RS s'efface : jamais il n'apparaît comme étant la passerelle à laquelle envoyer le trafic, car cela ferait de lui un véritable routeur qui prendrait la responsabilité de faire passer le trafic : une toute autre paire de manches. C'est pourtant ce qu'on observe avec des soit-disant «route-serveurs» qui servent à interconnecter des GIXes : en faisant la passerelle entre des zones de broadcast différentes il se comportent nécessairement comme des routeurs, qui n'appartiennent ni à un opérateur ni à l'autre. Ce transit partiel déguisé pose plusieurs questions : qui le finance et pourquoi, avec quelques équipements et capacité est-il réalisé, qui en assume la responsabilité, etc.

Le GIX ou le NAP (quand il autorise des échanges non gratuits entre les membres) peut aussi proposer des vLANs d'interconnexion différents pour certains types de trafic par exemple anycast ou mutlicast, ou même IPv6. Certains enfin proposent des LANs privés pour isoler certaines interconnexions de membres (ce qui commence à sortir assez nettement du rôle d'un GIX mais reste la compétence d'un opérateur d'opérateurs).

Opdop et FR-IX

Je vais vous toucher deux mots à propos d'Opdop puisque c'est l'opérateur d'opérateurs que j'ai monté justement en ayant toutes ces relations et problématiques en tête. Opdop n'est pas de taille à créer est propres infrastructures physiques, du moins pour le moment. Mais cela ne l'empêche pas de ses comporter comme un opérateur d'opérateurs.

Il propose donc aux opérateurs IP qui veulent émerger des offres complémentaires et neutres, en soutien. La neutralité est garantie par le fait que la structure s'interdit une activité d'opérateur qui serait concurrente à ses membres. L'autre points important pour la structure est son indépendance, à savoir être financée par ses membres et non par un tiers qui lui, pourrait venir casser indirectement la neutralité. Pour concrétiser cela, la structure est en train de migrer sous un statut coopératif, projet complexe qui implique des personnes physiques et morales très différentes.

Les activités

À Paris, des fibres optiques non éclairées permettent de multiplexer des longueurs d'onde, et ainsi aux opérateurs membres de s'implanter sur une diversités de points de présence, tout en allumant et en exploitant eux-même un support physique, ce qui leur offre des avantages autant en termes de qualité que de maîtrise.

En province, Opdop construit une offre publique de mutualisation de réseaux de transport, destinée à développement l'interconnexion de voisinage entre des territoires ruraux en France. Cette dynamique veut encourager le développement local, mais aussi la diversité des interconnexions (au lieu de raccordements uniquement vers Paris), et s'y emploi notamment en développant ou en participant au développement de points d'échanges voire de NAPs locaux. C'est la famille http://fr-ix.fr/FR-IX.

En complément, des offres de support, d'assistance, de formation, et aussi une gamme de services de LIR originale (Opdop n'est pas opérateur, donc ne route pas ses adresses PA qui ressemblent ainsi beaucoup à des PI) viennent proposer des solutions pour les jeunes opérateurs. A certains endroits, la mutualisation de racks en datacenters peut aider à facilier l'implantation (très limitée) de jeunes opérateurs.

Exclusions

Sont exclues toutes les activités IP, c'est à dire la fourniture de services (FAI, hébergement sur machine mutualisée ou dédiée), mais aussi les services d'opérateur (typiquement le transit), et d'ailleurs Opdop n'a ni AS ni IP ni routeurs.

Autres acteurs incontournables

Le Ripe

Le sujet a été effleuré au début de cet article, il est possible d'y revenir maintenant que les différents acteurs qui interviennent concurrentiellement dans la grande carte d'internet ont été décrits.

Le Ripe détient son autorité de l'ICANN et aussi d'une certaine manière, des nombreux contrats qu'elle a signé avec ses membres et avec lesquels elle organise nombre de meetings, en plus des listes de discussions auxquels ils peuvent participer pour prendre part et discuter sans cesse les règles applicables et les futures orientations. Cette transparence est probablement ce qui permet le mieux au Ripe de résister aux quelques contestations et à la difficile position qu'occupe une organisation qui prétend avoir une autorité sur des ressources aussi essentielles.

Plus que l'autorité du Ripe, c'est l'état de l'art et le souci du bon fonctionnement global d'internet (la plupart des opérateurs sont là pour faire du business, pas pour rigoler) qui fait que tout le monde respecte les règles. Reste que BGP propose peu de sécurité et que les opérateurs qui ne mettent pas en place quelques garde-fous se rendent très vulnérables. Cependant ces garde-fous locaux ne protègent pas beaucoup nous plus, et on attend mieux par exemple de la signature des annonces avec RPKI (lisez cette introduction de Stéphane Bortzmeyer et ensuite sa présentations au dernier FRNog). Le Ripe semble hélas n'avoir aucun moyen de contraindre un cochon malfaisant d'annoncer ses routes proprement, ou un voyou d'annoncer votre réseau autres en bousillant ainsi votre accessibilité sur le net.

Les local Internet Registry

Être membre du Ripe, autrement dit être un Local Internet Registry c'est, outre payer un droit d'entrée et une cotisation comprise entre 1300 et 5500 euros par an (chiffres de 2011 et 2012), c'est avoir la possibilité de disposer d'un pool d'adresses allouées, les adresses «provider aggregatable» parmi lesquelles il sera possible d'assigner à ses clients des adresses en fonction de leurs besoins.

Cette assignation est faite sous le contrôle plus ou moins immédiat du Ripe, et dans le respect de la politique d'assignation édictée par celui-ci. C'est une fonction administrative relativement peu lourde : environ 1/2 journée de travail cumulée pour la préparation, la validation, la mise en place et les aspects administratifs quand le travail est fait sérieusement et pour des adresses IPv4 ; un peu moins pour un numéro d'AS (travail qui souvent est redondant avec l'obtention des IPv4) et encore moins pour des adresses IPv6 tant que la demande n'excède par un /48 (le maximum qui puisse être obtenu sans devoir justifier la demande).

Le gros souci déjà évoqué plus haut c'est que les LIR sont souvent aussi des opérateurs internet, qui annoncent leurs adresses PA, et sont obligés de faire cette annonce agrégée. C'est à dire que lorsqu'ils annoncent leur réseau de LIR, ils annoncent les plus petits réseaux de leurs clients du même coup. Par conséquent ils ont forcément un contrat de transit avec eux, puisqu'ils reçoivent du trafic pour eux, et qu'ils doivent donc avec une interconnexion avec eux pour le leur transmettre. Ainsi un opérateur LIR qui assigne des adresses PA a forcément un contrat de transit avec leur utilisateur. Si l'utilisateur veut rompre le contrat de transit, il doit cesser d'utiliser ces adresses IP.

C'est toute l'utilité du LIR que j'ai monté : Opdop n'est pas opérateur : il peut vous assigner des adresses PA mais elles ne seront jamais liées à un autre service.

Le Whois

Les éléments rassemblés par le LIR sont soigneusement conservés pour garantir la cohérence des demandes futures, et pour pouvoir être fournis à la moindre demande du Ripe (qui ne demande pas forcément les informations tout de suite).

Mais surtout le LIR renseigne les ressources assignés (ou sous une autre statut) dans la base public du Ripe (on dit le «Whois» mais il ne s'agit que du protocole utilisé pour interroger cette base. L'écriture dans cette base se fait via un système automatisé interfacé par email ou par une interface Web en ligne dans un portail spécialisé.

Les ressources sont structurées sous forme d'objets, par exemple le type «inetnum» désigne une plage d'adresses IPv4 (et «inet6num» pour IPv6), «aut-num» un AS, «person» une personne physique, «role» une fonction, «organisation» une personne morale, «domain» une délégation de reverse DNS, etc. Chaque objet comprend toute une liste de champs, certains sont obligatoires (mandatory) et d'autres non, certains peuvent apparaître en plusieurs occurrences, et certain peuvent avoir des lignes pliées (retour à la ligne).

Le contenu de la base est supposé être en ASCII mais des caractères encodés différemment traînent dans certains objets, il semble que seuls les valeurs des champs qui représentent des clés soient examinés pour valider leur conformité.

La mise à jour des objets peut être soumise à des autorisations, la plus efficace étant sans doute celle qui consiste à valider l'émetteur de la modification en vérifiant que la clé PGP du signataire fait partie de celles des mainteneurs autorisés pour l'objet concerné. Plus loin, la capacité de déclarer un objet «route» par exemple (qui lie un inetnum à un AS pour dire que le second peut annoncer le premier), implique que le signataire satisfasse à la fois la capacités de maintenir les routes de l'AS (sa clé est figure dans un role indiqué dans le champ «mnt-route» de l'AS) et qu'il a autorité sur ces adresses (sa clé via «mnt-by» de l'inetnum).

Le whois est une base publique qui contient de nombreuses informations qui intéressent beaucoup les commerciaux de tous poils (pourtant souvent incapables de lire proprement les réponses qu'ils obtiennent hélas) ; son exploitation à des fins autres que purement opérationnelles est très explicitement interdite.

Ressources

Outre le Whois certaines sources d'information utiles sont disponibles qui peuvent aider un nouvel entrant à comprendre comment tout cela fonctionne.

Premièrement le site du Ripe est grandement accessible et bien que tout soit rédigé en anglais, il contient une documentation abondante aussi bien sur la base Whois que sur le fonctionnement du Ripe NCC, et comment son gérées les ressources internet publiques.

Ensuite une liste de discussion très courue des prestataires et opérateurs internet français, le «French Network Operators Group». C'est un outil précieux pour apprendre sur le milieu de la bouche même de ses techniciens, mais aussi une liste très lue sur laquelle il est vite fait de se faire griller voire descendre en flammes quand on dit des bêtises (donc attention). Le groupe tient en moyenne deux réunions par ans, histoire de voir quelques conférences plus ou moins intéressantes, d'empocher le stylo du sponsor et surtout de boire ensuite quelques bièresen discutant (hélas toujours à Paris dans un salon hyper select, mais seuls les commerciaux portent des cravattes rassurez-vous).

Une base de données collaborative qui décrit les réseaux et les datacenters, pas spécifiquement française : spartiate mais utile bien que jamais à jour et non sans erreurs.

Et comment ne pas citer l'excellentissime blog de Stéphane Bortzmeyer qui ne se lasse de nous présenter les dernières RFC et de les mettre en abîme pour nous aider à en saisir la portée et le contexte. Enfin le blog l'espiègle Spyou qui vous régalera de ses articles sur le DIY de l'Internet.