Lundi à 12 h 30, heure de Paris, une erreur de configuration du protocole d’échange de route externe d’internet, Border Gateway Protocol (BGP), a transformé un petit fournisseur d’accès internet de Pennsylvanie, DQE Communications, en chemin préféré pour la plupart des routes qui passent par Verizon, un fournisseur de transit internet majeur.
Internet est un réseau de réseaux nommés systèmes autonomes (AS), et chaque réseau possède un identifiant unique : son numéro AS. Tous ces réseaux sont interconnectés par le protocole BGP, qui leur permet d’échanger des routes.
DQE a mal annoncé 20,000 préfixes d’adresses IP, soit près de 2 % d’internet. Une erreur propagée par Allegheny Technologies, puis par Verizon.
Ce qui n’aurait jamais dû se produire, Verizon étant l’un des piliers du trafic mondial sur internet. L’opérateur télécom a non seulement accepté les nouvelles routes sans broncher, mais les as immédiatement propagés.
Résultat, pendant plus de trois heures, de nombreux services ont été affecté : Amazon, Cloudflare, Facebook, Linode et bien d’autres.
Si les erreurs de configuration de BGP sont régulières, elles s’arrêtent normalement aux grands acteurs, censés appliquer les meilleures pratiques, avoir un personnel formé, et des procédures pour détecter et corriger des erreurs très vite.
Cela n’a manifestement pas été le cas de Verizon, qui, d’après Cloudflare, a même empiré la situation avec des machines nommées BGP optimizers.
Comme nous l’avions mentionné il y a peu, des solutions existent pour rendre le risque d’erreur de routage presque nul, et d’atténuer les erreurs. Les 4 les plus connues sont mentionnées par MANRS, Mutually Agree Norms for Routing Security, normes de sécurité de routage convenues.
Deux solutions sont techniques : le filtrage et l’anti-usurpation, deux sont culturelles : la coordination et la validation globale.
On peut déplorer que Verizon ne soit pas l’un des 163 opérateurs télécoms participant à l’initiative.