La résilience d'Internet sera-t-elle sacrifiée sur l'autel de la centralisation ?

Arnaud Franquinet
Gandi

La panne de Cloudflare l'a à nouveau démontré : lorsqu'un hyperscaler cloud tousse, c'est tout Internet qui tombe malade. Internet est-il toujours aussi résilient qu'il était censé l'être ?

La panne de Cloudflare du 18 novembre dernier, un mois à peine après celle d’AWS, l’a à nouveau démontré : lorsqu’un hyperscaler cloud tousse, c’est tout Internet qui tombe malade. Cette fois-ci, en quelques minutes, X (ex-Twitter), Google, Instagram, ChatGPT, Doctissimo… nombre de sites web, d'applications et de services essentiels sont devenus inaccessibles. Non pas à cause d'une défaillance du réseau, mais parce qu'une infrastructure centralisée est tombée en panne. Une nouvelle preuve que la concentration excessive est l'ennemie de la résilience, un principe fondamental de la conception même d’Internet.

De tels incidents soulèvent une question cruciale : Internet est-il toujours aussi résilient qu'il était censé l'être ?

À l'origine, l'architecture d'Internet était conçue pour tolérer les défaillances : un réseau maillé distribué et décentralisé capable de rediriger le trafic dès qu'une partie tombait en panne. Cette résilience reposait sur la diversité (des routes, des protocoles, des opérateurs et des serveurs), une structure en couches « mille-feuille » de systèmes et d'acteurs qui se chevauchent.

La concentration, talon d’Achille pour la résilience

Mais au fil des ans, l'efficacité économique et la recherche de la simplicité ont conduit à une consolidation massive. Désormais, les couches techniques d'Internet (hébergement, DNS, CDN, clouds publics, services de messagerie, gestion des identités) sont concentrées entre les mains d'un petit nombre de fournisseurs mondiaux : AWS, Google, Azure, Cloudflare…. L'appétit des clients pour des produits simples et clés en main n'a fait que renforcer cette tendance. [La concentration ne se limite pas aux couches techniques comme l’attestent l’importance des réseaux sociaux vs une présence en ligne autonome]. Mais cette simplicité a un coût : la vulnérabilité collective.

Le risque d'une « monoculture » Internet

Dans la nature, les monocultures sont fragiles : un seul virus peut anéantir toute une espèce. Il en va de même pour Internet. La diversité (des opérateurs, des technologies et des protocoles) n'est pas un luxe, c'est un mécanisme de survie, c’était même l’adn de départ., La concentration technologique crée des vulnérabilités de défaillance globales à chaque niveau : pour une même norme cloud, un même vecteur d'attaque ; pour un même fournisseurs DNS, la même panne pour tout le monde ; pour un même protocole d’authentification, la même porte ouverte en cas de compromission.

Retrouver l'esprit d'origine : pluralité et interopérabilité

Pour renforcer la résilience de l'Internet, nous devons adopter de simples pratiques de bons sens :

  • Encourager la diversité parmi les fournisseurs à tous les niveaux (multi-cloud, DNS secondaire, redondance réelle)
  • Promouvoir des normes ouvertes et des initiatives interopérables
  • Nourrir la concurrence et contribuer à faire émerger de nouveaux acteurs

Internet a été basé sur l'idée de résilience par la diversité. Rétablir cet équilibre est essentiel pour préserver la vitalité et la résilience de l'écosystème numérique mondial.

Le secteur des technologies de l'information n’est pas un secteur économique comme les autres en raison de son potentiel « totalisant ».  Si usuellement l'unification des normes favorise la création de valeur grâce à une plus grande compétitivité dans tous les secteurs économiques, pour Internet, au contraire, c'est leur diversité qui permet résilience et nourrit le potentiel de création de valeur à long terme.

La panne de Cloudflare, comme celle d’AWS en octobre dernier, ne doit pas être considérée comme un simple problème technique, mais comme un signal d'alarme. Si nous continuons à concentrer notre infrastructure entre les mains de quelques acteurs mondiaux, nous transformerons un réseau conçu pour survivre à une guerre en un système fragile dépendant d'une poignée de serveurs et de décisions prises d’un seul !

Résilience et souveraineté : les deux faces d'une même médaille

La résilience numérique et la souveraineté sont étroitement liées. Trop souvent, la souveraineté numérique est réduite à la souveraineté étatique ou industrielle, qui se traduit par la mise en place d'un « cloud national », de centres de données nationaux ou de réglementations protectrices. Mais il existe un autre niveau, plus profond, plus fidèle à l'esprit d'Internet : la souveraineté distribuée, celle qui préserve l'individu, personne physique ou morale.

Il s'agit de permettre à chacune d’elles de choisir, de combiner ou même d'héberger ses propres services sans dépendre entièrement d'un seul géant opaque, ou du moins d'avoir la liberté de choisir. Il s'agit d'autonomie dans l'utilisation, et non d'autarcie. La capacité à continuer d'exister, de communiquer et de créer, même lorsqu'un acteur disparaît ou tousse, est essentielle à la résilience et à la souveraineté de la perosnne.

Dans un certain sens, il s'agit de l'extension éthique de la décentralisation originelle d'Internet :

  • Ne pas confondre confort et indépendance (ne pas sacrifier la liberté à la sécurité).
  •  Préférer la redondance à la centralisation.
  • Considérer la pluralité des infrastructures comme une liberté fondamentale.

À l'origine, Internet n'appartenait à personne, précisément pour rester ouvert à tous. Nous devons retrouver cet esprit : une souveraineté distribuée, partagée entre les individus, les communautés et des acteurs divers. C'est ainsi que nous renouerons avec l'idéal fondateur d'Internet : un réseau ouvert, résilient et libre.