Pour rappel, les annonces de routes BGP permettent de diriger le trafic Internet vers un serveur ou un autre, par exemple vers ceux à proximité. Problème, des tables de routages internes sont parfois diffusées sur Internet, et reprises sans vérification par certains gros acteurs. La conséquence ne se fait pas attendre : la redirection massive du trafic surcharge le réseau (voir ici et là par exemple).
Cloudflare explique que, hier, « une petite entreprise du nord de la Pennsylvanie est devenue le chemin privilégié de nombreuses routes Internet pour Verizon (AS701) ». La société ajoute que « cela n'aurait jamais dû arriver, Verizon n'aurait jamais dû transmettre ces itinéraires au reste d'Internet ».
Matthew Prince, cofondateur et PDG de Cloudflare, en rajoute une couche sur Twitter, affirmant que les équipes de Verizon et de Noction « devraient avoir honte » : « C’est absurde, BGP est si fragile. C’est plus absurde que Verizon accepte aveuglément des routes sans filtres basiques ».
Cette situation a « provoqué des pannes pour de nombreux réseaux, notamment Cloudflare et Facebook, Amazon et bien d'autres », explique Andree Toonk (fondateur de BGPmon) sur Twitter. Chez Cloudflare, l'incident a débuté à 13h02 pour se terminer à 15h02.
Une solution existe pourtant avec « une infrastructure de distribution de certificats numériques prouvant qu’on contrôle un préfixe IP : la RPKI », comme l'expliquait il y a déjà plusieurs années le spécialiste Stéphane Bortzmeyer. Elle est notamment poussée par Cloudflare.
Jérôme Fleury, directeur réseau chez Cloudflare, distribue de son côté un bon point à AT&T pour avoir déployé RPKI : « C'est une situation gagnant-gagnant pour nos deux réseaux » puisque la fuite BGP n'a eu aucun effet sur le trafic Cloudflare sur AT&T.
Commentaires (16)
#1
BGP* dans le titre ;)
#2
Donc Internet hier était dans le même état que la circulation en centre ville du Havre à 15h à cause des bouchons? " />
#3
J’adore ce genre d’incidents. Ça me permet d’en apprendre toujours plus. Je ne connaissais rien sur la RPKI jusqu’à aujourd’hui. Merci pour les liens utiles " />
#4
Pas faux que de pousser des protocoles avec un minimum de verrouillage serait un plus. On se rappellera cette histoire de l’Inde qui devenait le centre du monde pour une erreur de frappe. L’histoire se répète sans cesse visiblement.
Le plus dérangeant est qu’à force on finira par penser que d’un coté on est laxiste pour toucher les assurances et de l’autre pour faire de la guerre numérique/économique tranquillos.
#5
Y’a pas une petite agence gouvernementale en Pennsylvanie ?
#6
@dylem29
Hier c’était la visite du 1er Ministre russe.
*/TROLL
Ah bravo l’empreinte carbone : Dimanche soir après le match France-Brésil, l’avion de notre 1er Misnistre part vers Paris puis revient le lendemain matin/*TROLL
*/TROLL2
Pour l’ambassadeur chinois qui est venue il y a 15 jours, aucune rue n’a été bloquée ! (Comment doit-il le prendre " /> )/*TROLL2
#7
Tu es havrais? " />
#8
Non, mais on peut dire oui " />. J’y suis depuis presque 30 ans.
#9
J’y suis né. " />
J’ai voulu passer par l’Hôtel de Ville hier à 18h en rentrant du taf, bah, pas possible, pas de bus, j’suis rentré à 20h. " />
#10
Noooon, 2 heures de bouchon au Havre, on n’a pas l’habitude nous. Max c’est 15min " />
On s’était mis à l’heure Parisienne…
Même les prises de films ne durent pas si longtemps !
Vu comment il faisait lourd hier, tu as dû bien t’hydrater à l’apéro " />
#11
Je ne bois pas d’alcool, je suis sage. " />
J’ai patienté en faisant un tour à la FNAC. " />
#12
#13
#14
#15
Ça cite du Juliette Arnaud sur nxi maintenant, mais où va le monde " /> !?
#16
Alcool = Juliette Arnaud, c’est automatique chez moi. ;)