Megabug d'Internet : que s'est-il passé ?
Le dernier dysfonctionnement international d'Internet et des routeurs de Cisco a mis en avant certains risques encourus par les applications basées sur le Cloud.
"Cet événement n'était pas malveillant, mais a révélé par inadvertance la vulnérabilité," explique Cisco dans un avis de sécurité expliquant le bug qui entraîné des problèmes d'accès à une partie de l'Internet. Vendredi 27 août, pendant environ une demi-heure, plus de 3 500 blocs d'adresse IP, soit plus d'1% des préfixes que compte Internet, ont été impactés, dans plus de 60 pays.
Le consultant expert en sécurité Hervé Schauer, du cabinet éponyme, tient tout de même à dédramatiser : "L'immense majorité des gens n'ont rien vu, nous aurions même pu ne pas être au courant." L'incident a néanmoins révélé une vulnérabilité au coeur du fonctionnement d'Internet.
L'incident
A l'origine de l'incident : une expérience scientifique de routage menée par le RIPE NCC (Réseaux IP Européens - Network Coordination Center) et des chercheurs de la Duke University. Il s'agissait de réaliser des expérimentations sur le protocole BGP (Border Gateway Protocol, soit une technologie sur laquelle se basent les routeurs) avec des attributs jamais utilisés. Problème : après avoir chargé les données expérimentales, les routeurs tournant sous le système d'exploitation IOS XR de Cisco les ont ensuite mal traitées et diffusées. Ce qui a provoqué un dysfonctionnement des autres routeurs, et au final, de 3 des DNS de la racine .fr.
"Des plantages bien plus conséquents sont tout à fait envisageables."
Responsabilité
Pour Hervé Schauer, la responsabilité de ce bug incombe plus aux chercheurs qu'à Cisco : "le fait qu'il y ait une faille dans le logiciel de Cisco ne vient qu'ensuite : nous savons tous que les logiciels sont toujours bogués, et il faut bien encadrer des tests poussés de logiciel". Ce qui n'a pas été suffisamment le cas ici.
Peu disert, Cisco a néanmoins rapidement réagi et a publié un patch correctif. Les conséquences ont donc été maîtrisées et surtout, par chance, la faille découverte n'a pas été exploitée dans le but de nuire. "Des plantages bien plus conséquents sont tout à fait envisageables et auraient pu se produire si certaines failles de sécurité avaient été exploitées par des individus malveillant "
Cloud et risques
Cet incident pose aussi, une nouvelle fois, des questions essentielles sur les applications hébergées, y compris dans le cadre du cloud computing. Certains sceptiques vont avoir un nouvel argument pour fustiger la disponibilité et le temps de réponse des applications basées dans le nuage. Ce bug éloigne aussi de plus en plus la possibilité de garantir un réel taux de service de 100%.
L'émergence des progiciels en mode SaaS va aussi exposer de plus en plus d'utilisateurs à ces risques. D'autant, comme le rappelle Herve Schauer, que ce genre d'événements pourrait bien se reproduire, et même prendre de l'ampleur :"La dépendance de la société à l'informatique et Internet avec le maillage actuel ne peut que conduire à des évènements bien plus significatifs. Cette dépendance fait aussi que nous sommes de plus en plus sensibles à chaque incident."