[MàJ] La panne Cloudflare touchant de nombreux services comme X ou ChatGPT semble résolue

[MàJ] La panne Cloudflare touchant de nombreux services comme X ou ChatGPT semble résolue

crédits : Unsplash

Le 18 novembre à 16h02

Le 18 novembre à 16h02

Commentaires (74)

votre avatar
SPOF
votre avatar
Comme souvent... Mais là, le point va coûter cher.
votre avatar
On rigole, mais on en revient au fameux problème de souveraineté.

- A quand un Cloudflare européen ?
- A quand un MS365/Google Workspace européen ?
- A quand un AWS Européen ?

Imaginez si le Donald se fâche tout rouge un de ces 4 et décide de tout couper ? On est mal, très très mal


Pour ma part je gère ma sécu et mon cache web moi même avec Crowdsec et Varnish, ça fait le taff et ça me prend pas la tête. Mais c'est tout sauf simple à configurer...
votre avatar
Jamais je l'espère, la solution vient d'une pluralité et pas d'acteurs privés trop concentrés . Et des alternatives il en existe déjà !
votre avatar
Tout recentraliser en Europe ? Pour encore mettre dans la main de milliardaires ? ou pour encore créeer un SPOF ?
Pas sûr que ça soit une bonne idée.
Arrêtons de centraliser, ça sera déjà bien.
votre avatar
Il y a bien DNS4EU : https://www.joindns4.eu/, ce qui attire du monde chez CloudFlare c'est que le service de base est gratuit

En made in France il y a : https://www.prophaze.com/ ou https://www.imperva.com/
votre avatar
DNS4EU est juste un résolveur DNS public européen, pas le meilleur et certainement pas le premier (DNS4ALL, dns.sb...)
votre avatar
Oui. Et ce n'est pas la première fois ...
votre avatar
Et SNCF Connect également ...
votre avatar
Ca c'est ennuyeux, va expliquer ça au contrôleur.
votre avatar
Je ne peut plus vendre mes culottes sur Vinted ! :(((
(émoji home made, paske çà fonctionne pas)
votre avatar
Et malheureusement on dirait que les revendeurs tiers ne proposent plus les billets de la SNCF non plus. J'essaye de me passer de sncf-connect quand c'est possible mais apparemment on ne peux pas vraiment s'en passer complètement.
votre avatar
Si je comprend ton besoin : https://www.12train.com/
Simple, efficace.
votre avatar
J'avais justement essayé sur 12train (et trainline) mais il y avait un problème aussi.
Les deux refonctionnent maintenant.
votre avatar
Anecdote amusante https://downdetector.fr/ est chez cloudflare également.

Down Detector est donc down.
votre avatar
Excellent :p
votre avatar
downdetector.fr off paske cher Cloudflare c'est assez salé je trouve :D
Ya claude AI aussi qui est off.

Edit : Arf grillé par @Philipon
votre avatar
Je dirais même grillé par Martin non ? :p
votre avatar
oui c'était mentionné dès la publication de l'actu ! (le visuel qui montre downdetector HS a par contre été ajouté a posteriori)
votre avatar
Quelqu'un avait fait un détecteur pour savoir si downdetector est down....il est lui aussi sur cloudflare ^^
votre avatar
Ah oui c'est la grosse tuile quand même.

Je vais sur trois sites qui n'ont rien à voir, les trois en carafe avec la page d'erreur de Cloudfare.

Par réflexe, je viens sur Next pour voir si il n y a pas une panne généralisée du coup merci pour le billet qui met les choses au clair.

C'est toujours une chose qui me fascine (comme la panne récente du datacenter d'AWS), sur la papier on imagine toujours Internet comme étant l'essence d'une structure décentralisée et c'est vite mis à mal par l'usage de quelques tunnels communs.
votre avatar
Oui mais l'un n'empêche pas l'autre, Internet est par conception décentralisé mais personne n'a envie de redévelopper ses propres DNS de référence (donc SPOF DNS racine), personne n'a envie de devenir une autorité de certification (donc SPOF d'une poignée d'entre elles), personne n'a envie de devenir un cloud provider (donc SPOF d'un poignée aussi), tout le monde veut du haut débit de contenu (donc SPOF de quelques acteurs CDN), etc.

A la limite on pourrait se dire mais pourquoi si peu d'acteurs pour chaque domaine ? La réponse est qu'en fait il y en a souvent plus que ce qu'on pense mais les plus intéressants commercialement sont peu nombreux et donc tous les DSI s'engouffrent dedans.

PS : et à ce rythme là on peut aller loin, quand on pense aux nombres de lib critiques utilisées partout qui sont à peine maintenues (xkcd 2347) ça donne le vertige
votre avatar
Oui, je vois tout à fait le réalisme que tu proposes dans ton message et c'est un éclairage très intéressant, merci.
votre avatar
Analyser les vulnérabilités, c'est bien, mais ça prend plus de temps que d'écrire un commentaire sur Next. Donc, non, la racine du DNS n'est pas un SPOF, il y a onze organisations (ou douze, selon comment on compte) qui gèrent un serveur racine et, en prime, chacun peut avoir le sien https://www.bortzmeyer.org/8806.html (à la dernière réunion IETF à Montréal, une des discussions était de savoir s'il fallait généraliser cette pratique).
votre avatar
Salut Stéphane, je sais bien et mon commentaire était déjà assez long pour ne pas en écrire des tonnes (on est obligé de simplifier dans ce format), en revanche 2 choses :
1. oui chacun peut avoir le sien, d'où le : "mais personne n'a envie de redévelopper ses propres DNS de référence"
2. il y a certes 11 organisations mais elles sont administrativement coordonnées par l'ICANN, qui elle-même rend ses décisions en fonction de son conseil d'administration dont les membres sont issus de gros acteurs/référents techniques. On peut retourner le problème dans tous les sens mais il s'agit bien d'un SPOF en tant que tel. Pas un SPOF fragile type un état dans son coin (genre les US comme c'était le cas avant) ou un illuminé dans son coin, mais un SPOF quand même qui tient à la nature même d'avoir un accord mondial sur les ndd et leurs attributions
votre avatar
Ce n'est pas un SPOF que d'avoir un organisme unique qui pilote.

Un SPOF, c'est un machin qui s'il tombe en panne entraîne l'arrêt du système qui dépend de ce machin.

Les serveurs racines ont été conçus et définis pour qu'il en reste toujours en fonctionnement. UNE panne complète est impossible a priori.
votre avatar
Effectivement avec cette définition technique les DNS racines n'entrent pas dedans, d'autant qu'il y a un certain nombre de serveurs situés derrière 1 IP anycast/DNS racine
votre avatar
« elles sont administrativement coordonnées par l'ICANN » C'est faux. Un seul des serveurs racine dépend de l'ICANN (celui... de l'ICANN). Les autres n'ont aucune dépendance juridique ou organisationnelle avec l'ICANN.
Indication : quand un média écrit « L'ICANN, qui régule les noms de domaine », cela prouve que l'auteur ne connait pas le sujet.
votre avatar
L'Internet est bel et bien décentralisé, et marchait très bien hier pendant la panne de Cloudflare et, comme plein de gens, j'ai pu travailler, lire, faire ping et traceroute, et raconter des conneries sur un réseau social.
L'hébergement Web, lui, manque de diversité, mais ce n'est pas « l'Internet ». On n'est pas sur BFM TV ici.
votre avatar
Mon message ne dit rien d'autre que ce qui est écrit.

Sur l'aspect décentralisé, je fais simplement le constat des conséquences d'une défaillance d'un tunnel commun à un nombre non négligeable de requêtes très distinctes.

Par ailleurs, je ne suis pas le seul car à tout endroit qui mentionnait cette panne, j'ai vu le sigle SPOF fleurir un peu partout. Ce qui m'a permis au passage d'en découvrir le concept et de me renseigner.

Pour les personnes comme moi qui n'évoluent pas du tout dans ces milieux professionnels, il peut y avoir une forme de naïveté sur l'idée qu'on se fait sur l'aspect décentralisé et constater que la réalité est bien plus sophistiquée que cela.
Et je n'ai aucun complexe sur ce point, on est sur un site grand public tout va bien.

J'ajoute que Next vient de publier un article sur le post-mortem émis par Cloudflare et relate le fait que 20% du trafic mondial traverse leurs services. À partir de là, je ne vois pas où est le problème de relever le caractère exceptionnel de ce moment.

Bref je n'ai jamais dit que l'Internet n'était pas décentralisé, qu'il était complètement HS ce jour-là et laissé entendre que j'étais téléspectateur de BFM TV, d'autant que je ne regarde pas du tout la TV.
votre avatar
Tu as été repris sur le fait de confondre Internet et le Web.
Le Web utilise largement (mais pas seulement) Cloudflare, mais, Internet (l'interconnexion de réseaux IP) n'utilise pas Cloudflare et n'a pas cessé de fonctionner. Internet, ça ne fait que transporter des paquets de données entre des machines.

Une partie du Web a eu des problèmes à cause de la panne de Cloudflare , mais Internet, lui, n'en a pas eu.

Parler de tunnels comme tu le fais dans tes 2 messages ne veut rien dire.
votre avatar
En effet, j'étais passé à côté de l'abus de langage que j'exprimais, merci pour l'approche pédagogique :yes:
votre avatar
ansible galaxy aussi...

de même que les sites institutionnels de ma boite qui clignote sevère
votre avatar
L'informatique... çà marche jamais.
votre avatar
ChatGPT, peux-tu me dire pourquoi je n'arrive pas à aller sur X
Error, try later
🤬
votre avatar
lumo fonctionne, lui !
votre avatar
Vouloir transformer internet en minitel se paye au prix fort...
Je suis bien content de ne pas avoir cédé comme d'autres à Cloudflare pour la boutique en ligne de la pépinière... Des copains du métier ont leurs sites en PLS là... 😅
votre avatar
tu fait sans cloudflare avec des certificat auto signé ou tu passe par un autre service?
votre avatar
Le CDN de toute façon, c'est bien quand on s'adresse à la Terre entière pour éviter trop de latence à l'autre bout du monde.

Pour un site qui est uniquement à destination de la France et des alentours, la protection anti-DDoS de l'hébergeur ça suffit.

Perso je n'utilise pas de CDN non plus.
votre avatar
Tout pareil... Je ne vend qu'en France (et même pas en Corse), à un public de niche, des fruitiers très diversifiés (~200 variétés), sur un stock en production directe sans intrants issus de la pétrochimie, de 1500 à 2500 plants greffés par mes soins, entre Septembre et Mars... Quand les stocks tiennent jusque là.
Du coup, pas besoin de CDN, la protection anti-DDOS de l'hebergeur suffit amplement. 🙂
votre avatar
la protection anti-DDoS de l'hébergeur ça suffit
Ce point mérite d'être nuancé.

Le mois dernier nous avons dû passer un site client par le proxy Cloudflare et activer le mode "under attack" pour afficher le captcha CF systématiquement à chaque visite.

Pourquoi ?
Des requêtes trop lentes pour activer l'anti DDOS OVH mais qui consommaient énormément de ressources sur le serveur (pages de listing avec multiples filtres et tris).
Avant cela nous avions lutté plusieurs semaines contre des IP de tous les pays qui étaient systématiquement attachées à des AS de fournissuer internet (orange, SFR...) donc pas des AS de data-center et donc non bloquable.

Certaines de ces IP ne faisaient qu'une seule requête sur 15 jours !
Nous en avons compté plus de 1.3 millions...

L'activation du mode "under attack" de CF à calmé tous ça immédiatement.
votre avatar
J'avoue que je ne connaissais pas ce cas de figure, et là, l'usage du CDN prend tout son sens.

Ce que je pointais surtout, c'est le côté systématique / automatique de CloudFlare alors qu'il n'est potentiellement pas justifié.
votre avatar
Sisi.. promis.. çà fonctionne du feu de dieu CF.
Les barbus ont une grosse force de frappe contre les sites de pron :D
Et lorsque tu as juste une ligne et que tu ne dépends pas d'un hébergeur, çà dépanne BEAUCOUP....
votre avatar
Alors ce n'est pas un site de pron mais un site qui vend de l'alcool.
Peut être lié, je ne sais pas. En tout cas, on avait jamais ça.
votre avatar
https://toot.wales/@JamieNemeth/115575928311896451 😁
votre avatar
Roh, les smiley Next sont aussi sur Cloudflare ?
votre avatar
Si ça se trouve c'est un blocage IPTV qui a mal tourné.
votre avatar
Purée chez Cloudflare, ça doit relire fissa les contrats d'assurance avec le front en sueur.

"Alors ... mmhh ..c'est quelle clause déjà quand on fait perdre des milliards aux autres .. "
votre avatar
Du coup, on a maintenant la preuve que Next.ink n'est pas accessible derrière CloudFare :inpactitude2:
votre avatar
Je trouve que le site est perturbé moi. Lent, smiley qui déconne.
En tout cas https://sapi.net/ est HS grrr @Ferd :D
votre avatar
+1
votre avatar
Pour Sapinet je ne sais pas mais on est en train de se prendre une décharge de visites qu'on n'a jamais connue, sorry pour les lenteurs on étudiera en détails la situation après :)
votre avatar
Comme quoi, une source d'info non dopée à l'IA et au bait-click, ça se ressent vite.
votre avatar
Une pensée pour ceux qui sont derrière Cloudflare et chez AWS
votre avatar
Ah, sous Solus, impossible de mettre à jour les paquets, le repo passe apparemment par Cloudflare aussi. Il est urgent d'attendre :)
votre avatar
l'ADEME (agence d'état, qui fait transiter des données dont des données personnelles par cloudflare donc) est down ; impossible d'établir un DPE ; il est grand temps d'avoir un moratoire sur les plateformes d'état.
votre avatar
C'est étonnant tous ces sites européens qui passent par cloudflare.
je lis sur Le Monde que doctolib est concerné.
Pour fonctionner, cloudflare n'est-il pas obligé d'avoir des certificats https pour les sites de ses clients et être ainsi capable de faire de l'interception du trafic http ?
Est-ce vraiment compatible avec un service comme doctolib qui manipule des données sensibles ?
#patapé je n'y connais rien.
votre avatar
Le principe du https est d'être chiffré justement donc ils voient du traffic oui mais pas ce qu'il y a dedans.
votre avatar
Si CloudFlase est utilisé comme reverse-proxy, alors si, ils voient tout le trafic en clair.
(Ce qui en soit est déjà une violation du RGPD, puisque la loi FISA existe... mais bon tout le monde a l'air de s'en foutre. Ça ne pousse des cris que quand un acteur américain tombe.)
votre avatar
Résolu ?
votre avatar
Je ne sais pas mais l'interface de connexion quand on a un compte Clouflare est HS, Erreur 500. Je peut pas modifier mes DNS.

Edit1: Je l'utilise seulement pour gérer des DNS mais la c'est la mde.
votre avatar
Dash est OK pour moi. EDIT : apparemment certains clients ont encore des soucis pour dash, pas de chance :D
votre avatar
Oui https://www.cloudflarestatus.com/incidents/8gmgl950y3h7
votre avatar
Je viens de passer de erreur 500 a 404. :mdr2:
votre avatar
Heureusement que l'incident est résolu :D
votre avatar
Je viens de passer de erreur 500 a 404.
N'oubliez pas la règle des errers HTTP :

500 : it's us the problem

400 : it's you the problem

:langue:
votre avatar
Apparemment mais comme d’habitude avec ces grosses machines les perturbations vont continuer un peu.
votre avatar
Outre l'aspect SPOF qui défonce un service en ligne entier, ça permet aussi d'identifier ceux en microservice : le service est up, mais des morceaux sont dans les choux :D
votre avatar
ça a commencé vers 12h00 et des broquemolles. J'avais une webconf à 12h30, cloudflare était déjà - mais moins - pété. La page indiquait erreur 500 chez Cloudflare, le site distant et la connexion OK.
Downdetector fonctionnait encore vers 12h45.
votre avatar
Super ça fait une bonne excuse pour expliquer le plantage de notre prod d'aujourd'hui :P
votre avatar
Pile : DNS
Face : CloudFlare
votre avatar
On attend le retex détaillé sur l'origine de la panne. Encore un problème de DNS comme AWS et Azure ?
votre avatar
https://blog.cloudflare.com/18-november-2025-outage/ (Et la panne d'AWS n'était pas vraiment un problème DNS.)
votre avatar
Oui, j'ai vu, problème de fichier de base de données qui a doublé de taille, a priori suite à un bug, répliqué entre les serveusr Cloudflare.

[MàJ] La panne Cloudflare touchant de nombreux services comme X ou ChatGPT semble résolue

Fermer