Pour rappel, les annonces de routes BGP permettent de diriger le trafic Internet vers un serveur ou un autre, par exemple vers ceux à proximité. Problème, des tables de routages internes sont parfois diffusées sur Internet, et reprises sans vérification par certains gros acteurs. La conséquence ne se fait pas attendre : la redirection massive du trafic surcharge le réseau (voir ici et là par exemple).

Cloudflare explique que, hier, « une petite entreprise du nord de la Pennsylvanie est devenue le chemin privilégié de nombreuses routes Internet pour Verizon (AS701) ». La société ajoute que « cela n'aurait jamais dû arriver, Verizon n'aurait jamais dû transmettre ces itinéraires au reste d'Internet ».

Matthew Prince, cofondateur et PDG de Cloudflare, en rajoute une couche sur Twitter, affirmant que les équipes de Verizon et de Noction « devraient avoir honte » : « C’est absurde, BGP est si fragile. C’est plus absurde que Verizon accepte aveuglément des routes sans filtres basiques ».

Cette situation a « provoqué des pannes pour de nombreux réseaux, notamment Cloudflare et Facebook, Amazon et bien d'autres », explique Andree Toonk (fondateur de BGPmon) sur Twitter. Chez Cloudflare, l'incident a débuté à 13h02 pour se terminer à 15h02.

Une solution existe pourtant avec « une infrastructure de distribution de certificats numériques prouvant qu’on contrôle un préfixe IP : la RPKI », comme l'expliquait il y a déjà plusieurs années le spécialiste Stéphane Bortzmeyer. Elle est notamment poussée par Cloudflare.

Jérôme Fleury, directeur réseau chez Cloudflare, distribue de son côté un bon point à AT&T pour avoir déployé RPKI : « C'est une situation gagnant-gagnant pour nos deux réseaux »  puisque la fuite BGP n'a eu aucun effet sur le trafic Cloudflare sur AT&T.