Google a cessé ses activités lundi soir (12), affectant plusieurs utilisateurs, dont ses clients en ligne comme Spotify. En raison d’une défaillance, le trafic de la société a été détourné vers la Chine et la Russie sans pouvoir atteindre sa destination ; cela a impliqué des millions d’adresses IP. Il n’y a aucun soupçon d’action malveillante, et les données étaient cryptées. Facebook était également hors service, mais pour d’autres raisons (dues à un test de routine).
Selon Ars Technica, tout a commencé lorsqu’un petit fournisseur au Nigeria, MainOne Cable Company, a commencé à faire croire que son système était le bon moyen d’atteindre les 212 préfixes IP de Google. En quelques minutes, China Telecom a accepté cet itinéraire et l’a annoncé au monde entier. À leur tour, les Transtelecom russes et d’autres grands fournisseurs ont également suivi la voie.
Le trafic de Google n’a jamais atteint sa destination prévue. Au lieu de cela, il a fini sur un routeur à l’intérieur de China Telecom. Cela a provoqué un déni de service dans la recherche de G Suite et de Google, et a potentiellement emporté des données sensibles vers des pays ayant des règles de surveillance d’Internet plus strictes.
Google estime que le routage a été un échec de MainOne, qui a annoncé une série d’adresses IP qui n’étaient pas les siennes. De plus, tout le trafic est crypté, ce qui limite les dommages en cas de détournement éventuel.
Dans une déclaration, Google déclare : “Nous sommes conscients qu’une partie du trafic Internet a été affectée par un routage incorrect des adresses IP, et que l’accès à certains services de Google a été affecté. La cause principale du problème était externe, et il n’y a pas eu de compromis sur les services de Google”.
L’éruption de nuages a été touchée : “presque certainement une erreur”
L’incident a également touché Cloudflare, un service qui protège les sites web contre les attaques et met en cache le contenu. MainOne a déclaré lundi qu’elle disposait du système pour les adresses IP de l’entreprise. China Telecom a accepté cette route incorrecte, l’annonçant au reste de l’Internet ; Transtelecom a suivi le même chemin, ainsi que d’autres grands fournisseurs, ce qui a fait que la route s’est répandue dans le monde entier.
Matthew Prince, PDG de Cloudflare, déclare que ce routage incorrect était “presque certainement une erreur”, plutôt qu’une tentative délibérée de détournement de trafic.
Prince explique que le Nigeria a accueilli il y a quelques semaines une grande réunion sur la connectivité appelée NgNOG, à laquelle ont participé Cloudflare et Google. Ces réunions aboutissent généralement à des accords de connexion directe pour accélérer l’accès. Le fournisseur nigérian a alors commis une erreur et a transmis les mauvaises données de routage à China Telecom, qui les a distribuées au reste du monde.
“S’il se passait quelque chose de malfaisant, il y aurait des moyens beaucoup plus directs et potentiellement moins nocifs/détectables pour rediriger le trafic”, déclare M. Prince. “L’impact sur nous a été minime. Les systèmes de Cloudflare ont automatiquement détecté la fuite et ont modifié notre itinéraire pour en atténuer les effets”.
L’incident montre à quel point le BGP (Border Gateway Protocol) peut être vulnérable. Il s’agit du protocole de routage entre des systèmes autonomes, tels que les principaux fournisseurs d’accès à Internet, notamment China Telecom et Russian Transtelecom.
BGP repose sur la confiance que toutes les entreprises acheminent correctement les données, ce qui n’est pas toujours le cas, parfois intentionnellement. Ce mois-ci, le chercheur en sécurité Doug Madory a découvert que China Telecom détournait le trafic interne des États-Unis vers la Chine depuis deux ans et demi. Dans un cas, l’accès entre Los Angeles et Washington, D.C. était auparavant passé par la ville de Hangzhou.
