FRnOG 38 :
Comment va le réseau ?
À toute vitesse !
Laurent Bloch
Vendredi dernier 6 octobre 2023 se tenait la trente huitième réunion du FRnOG [1], le FRench Network Operators Group, « groupe d'échange d'informations qui rassemble des personnes intéressées par les domaines de la sécurité, la recherche et le fonctionnement d'Internet en France. Le FRnOG veut contribuer à l'amélioration de la qualité des services Internet en France en permettant l'échange d'informations et plus généralement une meilleure communication entre les entreprises ou associations qui font l'Internet en France. » Philippe Bourcier est l'infatigable animateur de cet événement qui réunit deux fois par an quelques quatre cents ingénieurs et techniciens du réseau, en fait les gens qui font réellement fonctionner l'Internet en France. C'est une occasion irremplaçable de savoir ce qui s'y passe, de se tenir au courant des évolutions techniques, et je suis surpris de ne pas y rencontrer plus de journalistes spécialisés et d'universitaires du domaine.
Si au cours de votre lecture vous tombez sur un sigle incompréhensible, vous trouverez en bas de cette page un petit glossaire.
Pine Networks et IP Infusion pour un réseau ouvert
Le premier exposé [2], par Hadi Choueiry de Pine Networks et Lucie Nguyen d'IP Infusion, présentait des composants matériels et logiciels destinés à l'Open Networking, c'est-à-dire la construction d'infrastructures affranchies de l'architecture d'un constructeur unique en position de monopole. Cette architecture ouverte se nomme Open Network Install Environment (ONIE). Il existe actuellement des ASICs génériques qui peuvent être implantés dans des châssis Broadcom par exemple, ainsi que des composants optiques chez Smartoptics. Côté logiciel IP Infusion produit depuis 24 ans sous le nom OcNOS un OS réseau issu de la filière Zebra-Quagga et disponible pour diverses plates-formes matériel.
Une information importante de cet exposé : la capacité disponible en fibre optique croît de 30 % par an.
Telehouse, vers les 200 kW par rack ?
Le second exposé [3], par Florent Cragnolini de Telehouse faisait un point complet sur les évolutions récentes des centres de données. La consommation électrique, et donc la dissipation thermique, augmentent rapidement, vers les 30 kW par rack, le refroidissement par air ne suffit plus, il faut passer au liquide, on a le choix entre le Direct to Chip et l'immersion. Avec de telles solutions la voie est ouverte vers les 200 kW par rack. Je vous invite à voir les très beaux slides [4] de la présentation. Et pour rassurer les écologistes : ces technologies liquides facilitent la récupération de la chaleur, par exemple pour le raccordement au réseau de chauffage urbain.
2CRSi, augmenter la densité des fermes de calcul
L'exposé [5] de Xavier Le Vaillant (2CRSi [6]), intitulé Disaggregation : future of data centers ?, proposait plusieurs solutions techniques pour augmenter la densité des fermes de calcul. La norme CXL [7], basée sur les interfaces physiques et électriques PCI Express [8], permet de séparer dans un rack les processeurs de la mémoire et des périphériques, grâce à des connexions ultra-rapides, par exemple par des liaisons InfiniBand. En gros on peut dire qu'il s'agit d'assembler, le plus efficacement possible, des composants standard pour réaliser l'équivalent d'un supercalculateur. Les figures de la présentation [9] expliquent mieux ces dispositifs que ma prose.
Le DDoS aujourd'hui
Jérôme Meyer nous prévient que le DDoS progresse [10], récemment AWS en a reçu un de 2,5 Tbps. Ce malgré des milliards investis dans les contre-mesures, la mobilisation des forces de l'ordre, etc. Les Botnets sont le vecteur principal, de plus en plus constitués d'appareils de l'IoT, dont le nombre croît très rapidement. Ces appareils sont faciles à pirater (mot de passe par défaut jamais changé), leurs systèmes ne sont jamais mis à jour. On repère la cible par crawling, à partir du numéro de modèle on identifie le micrologiciel et on trouve les exploits liés au CVE, le code d'exploitation est sur GitHub, roulez carrosse... De ce fait, les prix se sont effondrés sur le marché du Botnet, le DDoS est à la portée du peuple.
Menace quantique sur la cryptographie
On ne sait ni quand ni comment le calcul quantique arrivera sur la scène, ni même s'il y arrivera un jour, mais quand ce jour (éventuel) arrivera toute la cryptographie moderne sera compromise, et pour ceux qui ne s'y seront pas préparés ce sera bien trop tard. L'exposé de Paul Chammas [11] (QuRISK) faisait le point de la situation et des travaux en cours, là aussi avec des slides très pédagogiques. Selon l'opinion des physiciens, l'ordinateur quantique généraliste (Turing, von Neumann) n'est pas à l'ordre du jour, par contre des calculateurs spécialisés pour des fonctions précises, justement pour la transmission, le chiffrement et le déchiffrement de données, sont en cours de développement avec de bonnes chances de succès. Le National Institute of Standards and Technology (NIST) a lancé une vaste initiative pour la cryptographie post-quantique (PQC), des algorithmes de chiffrement post-quantiques sont déjà disponibles, mais ils manquent de maturité. En effet, les attaquants ne s'amusent pas à faire de la mathématique fondamentale pour trouver la fonction réciproque de la fonction de chiffrement, ils cherchent les failles d'implémentation (merci Hervé Schauer pour cette idée), et pour un logiciel un peu juvénile ils sont à peu près sûrs d'en trouver.
Sécurité 5G
L'exposé de Philippe Langlois [12] (P1 Security) portait sur la sécurité des infrastructures 5G et leur surface d'attaque. Une des nouveautés apportées par la 5G est le déport au pied de l'antenne d'une bonne part des fonctions de calcul, cependant que le reste s'installe dans les nuages (5G Public Cloud). Les fonctions du réseau sont largement virtualisées, ce qui ouvre bien des perspectives de désagrégation, par exemple pour des réseaux privés d'entreprise, mais ces perspectives alléchantes s'ouvrent aussi aux attaquants. L'auteur présente plusieurs exemples de vulnérabilités découvertes, tant dans la couche de signalisation que dans les fonctions en contact avec l'abonné. Là aussi je vous renvoie aux slides, j'avoue avoir capitulé devant l'avalanche de sigles.
Greenwasher du numérique : un métier d'avenir et sans risque
Depuis quelques années maintenant Pierre Beyssac, ingénieur Supélec et naguère co-fondateur de Gandi, s'emploie à révéler les erreurs, approximations et falsifications innombrables qui surgissent dans la littérature écologiste à propos de la consommation énergétique de l'informatique et des réseaux, par exemple par ses articles l'impact environnemental du volume de données, une arnaque intellectuelle [13] ou la sobriété numérique, oui mais pour quoi faire [14] ? Mais pour son exposé à FRnOG [15] il avait décidé de changer de camp (avec humour) ; en constatant que l'on était mieux entendu en propageant des contre-vérités à la mode qu'en essayant de faire comprendre des vérités impopulaires, il donnait là des conseils pour une carrière rémunératrice et peu exigeante tant intellectuellement qu'en quantité de travail : producteur de mensonges écologistes. C'était le moment d'humour de l'après-midi, et peut-être un conseil de carrière judicieux.
What's new on PeeringDB ?
L'exposé de Livio Morina [16] m'a appris l'existence de PeeringDB, a freely available, user- maintained, database of networks and carriers, and the go-to location for interconnection data. It facilitates the global interconnection of networks at IXPs, data centers, and other interconnection facilities. It is the first stop in making interconnection decisions. C'est très utile et très intéressant, cf. les slides.
Open Compute Project, la fin du rack 19 pouces
L'exposé de Frédéric Mossmann [17] (2CRSi) célébrait le centenaire du rack 19 pouces, et annonçait son remplacement par un nouveau format de rack, celui d'Open Compute Project, lancé en 2011 par un ingénieur de Facebook pour remettre en ordre leur DC de Prineville, Oregon. Cet exposé complète très bien celui de Xavier Le Vaillant [18], et annonce une véritable révolution des installations physiques dans les Data Centers, et même de la conception des serveurs, de leur alimentation électrique, de leur refroidissement, de leur mise en réseau. Si vous avez à vous occuper d'installations physiques, une lecture indispensable.
Beer Event
Lors du Beer Event j'ai eu une conversation passionnante avec Thierry Lelégard de SiPearl [19], qui participe à la conception d'un SoC constitué de processeurs d'architecture ARM et de GPU (Nvidia ?) pour le calcul haute performance [20] et plus particulièrement pour la cryptographie. Il m'expliquait que, certes, l'assembleur ARM était inextricable, ce que j'avais appris de mes propres essais de programmation [21], mais que ce n'était pas grave parce que de tout façon les architectures contemporaines ne sont pas faites pour être programmées en assembleur « à la main », les bons compilateurs font ça bien mieux (clang par exemple). Gérard Berry avait déjà exprimé la même idée. Je lui ai alors demandé pourquoi ils n'avaient pas choisi l'architecture libre RISC-V [22], dont mes expériences de programmation [23] m'avaient laissé le souvenir d'un assembleur particulièrement élégant ; la réponse fut que RISC-V souffrait des défauts de certains projets libres : une certaine anarchie. Un guru du projet avait décidé que les opérations arithmétiques seraient sans retenue (j'ai du mal à comprendre comment, mais bon...). Or, pour la cryptographie, on fait des opérations arithmétiques sur de très grands nombres, comme 4096 chiffres binaires, et pour faire de telles choses l'absence de retenue est rédhibitoire.
Laurent Bloch
Article mis en ligne le 15 octobre 2023 sur le site de Laurent Bloch.
https://laurentbloch.net/MySpip3/Comment-va-le-reseau-A-toute-vitesse
Cet article est sous licence Creative Commons Attribution 4.0 International.
https://creativecommons.org/licenses/by/4.0/deed.fr
Pense-bête pour les sigles récurrents
Le jargon de la cybersécurité [24], emprunté à Airbus Protect, Wikipédia et quelques autres :
MDR : Managed detection and response ;
SOC : Security Operations Centre ;
EDR : Endpoint detection and response ;
XDR : Extended detection and response ;
SOAR : Security orchestration, automation and response ;
SIEM : Security information and event management ;
CXL : Compute Express Link ;
PCIe : Peripheral Component Interconnect Express ;
DDoS : Distributed Denial of Service ;
CVE : Common Vulnerabilities and Exposures ;
SoC : System on Chip ;
IoT : Internet of Things ;
PQC : Post-Quantum Cryptography ;
GPU : Graphics processing unit ;
WUE : Water Usage Effectiveness.
NOTES
[1] https://www.frnog.org/?page=meetings
[2] https://media.frnog.org/FRnOG_38/FRnOG_38-1.pdf
[3] http://media.frnog.org/FRnOG_38/FRnOG_38-2.pdf
[4] https://media.frnog.org/FRnOG_38/FRnOG_38-2.pdf
[5] https://media.frnog.org/FRnOG_38/FRnOG_38-3.pdf
[6] https://fr.wikipedia.org/wiki/2CRSi
[7] https://en.wikipedia.org/wiki/Compute_Express_Link
[8] https://en.wikipedia.org/wiki/PCI_Express
[9] https://media.frnog.org/FRnOG_38/FRnOG_38-3.pdf
[10] https://media.frnog.org/FRnOG_38/FRnOG_38-4.pdf
[11] https://media.frnog.org/FRnOG_38/FRnOG_38-5.pdf
[12] https://media.frnog.org/FRnOG_38/FRnOG_38-6.pdf
[13] https://signal.eu.org/blog/2021/03/09/limpact-environnemental-du-volume-de-donnees-une-arnaque-intellectuelle/
[14] https://signal.eu.org/blog/2020/07/15/la-sobriete-numerique-oui-mais-pour-quoi-faire/
[15] https://media.frnog.org/FRnOG_38/FRnOG_38-7.pdf
[16] https://media.frnog.org/FRnOG_38/FRnOG_38-8.pdf
[17] https://media.frnog.org/FRnOG_38/FRnOG_38-9.pdf
[18] https://media.frnog.org/FRnOG_38/FRnOG_38-3.pdf
[19] https://sipearl.com/
[20] https://laurentbloch.net/MySpip3/Calcul-haute-performance-megadonnees-Big-Data-HPC
[21] https://laurentbloch.net/MySpip3/Programmation-en-assembleur-ARM
[22] https://laurentbloch.net/MySpip3/Micro-electronique-progres-chinois-rapides
[23] https://laurentbloch.net/MySpip3/Mon-premier-programme-en-assembleur-RISC-V
[24] https://www.protect.airbus.com/fr/blog/jargon-cybersecurite/
|