Les techniques fondées sur le #pair-à-pair sont souvent présentées comme permettant un Internet sans centre et sans autorité. Ce n’est vrai que si on ne se préoccupe pas de sécurité. Dès qu’on est confronté à des méchants qui tentent délibérement d’attaquer le réseau, le problème est bien plus complexe. Désolé de jouer les porteurs de mauvaise nouvelle mais la plupart des promoteurs du pair-à-pair se font des illusions.
Merci pour votre article qui est assez intéressant. Cependant, je ne suis pas tout à fait d’accord avec vous quand vous dites que n’importe qui peut sortir 20 000 machines virtuelles pour spammer le réseau. Cela marchera quelques jours au mieux et puis les adresses IP de ces machines vont se faire banir de la plupart des clients (en IPv6, on banira le préfixe).
Dans un réseau maillé (comme qaul, que je citais dans mon article), cela ne marchera pas puisque même l’allocation des adresses est contrôlée par les pairs.
Dans une DHT sur l’Internet, avec des adresses IP publiques (je passe sur l’allocation pas du tout pair-à-pair des adresses IP...), qui va gérer la liste noire ? Précisément le composant central.
Le problème est difficile. Des centaines de chercheurs ont déjà bossé dessus. On ne le résoudra pas avec une idée « dos de l’enveloppe ».
Les réseaux de confiance (GPG) ne sont-ils pas sensés répondre à cette problématique ? Il y a une hiérarchie, mais elle est relative à chacun des pairs.
#P2P #cybersécurité (voir aussi ce qu’il en coûte de repérer des brèches ►http://www.wired.com/threatlevel/2013/03/att-hacker-gets-3-years / je sais je mélange tout, mais ça me scotche)
Tu ne peux pas mettre dans le même panier un protocole de la couche application comme Bittorrent et un de la couche réseau comme Qaul, ce n’est pas la même problématique. Un protocole de la couche application a déjà à sa disposition l’identifiant de la couche réseau, tandis que la couche réseau n’a rien de fiable en dessous. Il est donc beaucoup plus compliqué d’avoir un Qaul fonctionnel qu’un Bittorrent.
Ça ne veut pas dire pour autant que BT n’est pas un protocole P2P, il l’est relativement à la couche à laquelle il appartient. Quand on le fait tourner par-dessus IP il repose en effet sur un système d’allocation centralisé, mais peut-être qu’un jour on le fera tourner sur une pile réseau entièrement P2P.
Une précision concernant Bittorrent : la manière de récupérer le hash du torrent est en dehors du champ du protocole. La méthode que tu évoques qui consiste à interroger un moteur de recherche Web n’est pas la seule possible, il existe un client torrent qui implémente une recherche P2P : ▻http://www.tribler.org
