Que s'est-il passé le 17 octobre 2016 sur les résolveurs DNS d'Orange ?

Le lundi 17 octobre 2016, bien des clients d’Orange ont eu la mauvaise surprise de ne pas pouvoir visiter Google. La plupart n’avaient pas de messages d’erreur précis, juste une longue attente et un message d’erreur vague du genre « timeout ». Certains avaient la désagréable surprise de voir apparaitre une page menaçante, les accusant d’avoir voulu se connecter à un site Web terroriste. À l’origine de ce problème, une erreur de configuration dans les résolveurs DNS d’Orange, en raison de la fonction de censure administrative du Web.

D’abord, voyons l’étendue du problème. Il n’affectait que les clients d’Orange, et seulement ceux qui utilisaient les résolveurs DNS de l’opérateur (voir plus loin pour une définition des termes techniques). Les sites inaccessibles incluaient http://www.google.fr/, mais aussi http://fr.wikipedia.org/, http://www.ovh.com/ et quelques autres. Beaucoup d’utilisateurs ont imputé le problème à Google à tort (mot-croisillon #GoogleDown sur Twitter, ce qui était complètement erroné).

Il est rapidement apparu que le problème venait du DNS. Ce système (Domain Name System) permet d’associer à un nom de domaine (comme www.afnic.fr ou youtube.com) des données techniques, comme l’adresse IP (Internet Protocol) de la machine serveuse. Cette adresse IP est indispensable au bon fonctionnement de l’Internet. Résoudre (traduire) un nom de domaine en adresse IP est le travail de deux sortes de serveurs DNS : les serveurs faisant autorité, qui connaissent le contenu d’une partie du DNS (par exemple, les serveurs faisant autorité gérés par l’AFNIC connaissent le contenu de .fr, les serveurs faisant autorité pour cfeditions.com connaissent le contenu de cfeditions.com, etc), et les résolveurs. Ces derniers ne connaissent rien mais, demandant aux serveurs faisant autorité, et mémorisant leur réponse (ce que les informaticiens appellent, bizarrement, « cacher »), ils obtiennent l’information qu’ils distribuent aux utilisateurs.Les résolveurs sont typiquement gérés par les FAI (Fournisseurs d’Accès Internet, comme Orange) mais il existe aussi des serveurs publics comme ceux de FDN. L’utilisateur de l’Internet n’a en général pas à s’en soucier, son FAI lui indique automatiquement ses résolveurs et tout roule.

Normalement, donc, un résolveur n’a pas de données propres et se contente de relayer entre l’utilisateur et le serveur faisant autorité. Mais, comme quasiment toute communication Internet commence par une requête DNS, il est tentant, lorsqu’on souhaite contrôler l’usage de l’Internet, de demander aux résolveurs de mentir, c’est-à-dire de donner une information qui n’est pas celle venue du serveur faisant autorité. C’est ce qui est prévu en France en application du décret n° 2015-125 du 5 février 2015. Le Ministère de l’Intérieur envoie aux principaux FAI une liste des domaines à bloquer (un article de Numérama détaille ce processus) et ceux-ci déploient la configuration nécessaire dans leurs résolveurs.

Mais, ce lundi matin, lorsqu’on interrogait les résolveurs d’Orange au sujet de l’adresse IP de www.google.fr, au lieu de répondre avec l’adresse contenue dans les serveurs faisant autorité pour google.fr (serveurs gérés par Google), ils répondaient 90.85.16.52, une adresse appartenant à un sous-traitant du Ministère de l’Intérieur. Lorsqu’un navigateur Web se connecte à cette adresse, il obtient normalement une page l’avertissant que le nom de domaine fait partie de ceux qui sont bloqués, et un motif est indiqué (promotion du terrorisme, par exemple).

Mais ce serveur était bien trop faible pour encaisser l’énorme trafic de Google et de Wikipédia, et a vite cessé de fonctionner correctement. C’est ce qui explique l’absence de réponse fréquemment rencontrée, faisant croire aux utilisateurs que Google était en panne.

Au fait, comment sait-on que les clients d’Orange (et uniquement eux) recevaient cette fausse information ? En effet, dans l’Internet d’aujourd’hui, complexe et international, une observation faite en un point n’est pas suffisante. Les clients d’Orange peuvent s’exclamer en chœur « Google est planté » et ceux de Free répondre « non, tout va bien ici ». Et les deux groupes ont raison… de leur point de vue. Nous avons utilisé, outre les mesures faites par des experts chez différents FAI, le réseau des sondes RIPE Atlas. Ces petits boitiers permettent de mesurer un certain nombre d’indicateurs techniques depuis de nombreux points du réseau. (Détail pour les techniciens : la commande utilisée était atlas-resolve –as 3215 –requested 1000 www.google.fr, l’AS 3215 étant celui d’Orange.)

La panne elle-même, c’est-à-dire l’envoi de fausses informations par les résolveurs DNS d’Orange, a duré environ une heure. Mais son effet avait été prolongé par la mémorisation (les fameux « caches ») des informations dans certains composants du réseau (par exemple la « box » chez l’utilisateur). Cela fait que, plusieurs heures après, Google ou Wikipédia étaient toujours inaccessibles pour certains utilisateurs.

Les leçons à en tirer ? Le DNS est un composant critique de l’Internet et sa résilience, sa capacité à résister aux pannes et à repartir ensuite, est donc cruciale. L’Afnic participe à cet effet aux travaux de l’Observatoire de la résilience Internet, coordonnés par l’ANSSI. Toute interférence avec le fonctionnement du DNS, que ce soit pour des raisons politiques ou autres, le met potentiellement en péril. C’est ce qu’avait analysé le rapport du Conseil Scientifique de l’Afnic « Conséquences du filtrage Internet par le DNS », qui mettait bien en évidence le risque de tels filtrages ou blocages.