Par François Jolain.
Facebook a été hors ligne à cause d’une erreur dans la configuration de leur DNS. Voyons plus en détails ce qu’il se cache derrière.
Le Domain Name System (DNS) est un rouage essentiel d’internet qui permet de relier les humains aux ordinateurs. En effet, ce qui fait office de navigation sur internet est le protocole TCP/IP. À chaque machine connectée à internet est assignée une adresse IP telle que 208.76.34.154. Cette suite de chiffres sert aux machines à s’identifier entre elles et ainsi à faire transiter les messages à travers internet.
Ce fonctionnement est parfait pour les machines mais inapproprié pour les humains. Il faudrait se remémorer toutes les adresses IP de chacun de nos sites web pour y accéder. On a donc mis au point le DNS, qui permet de lier un nom de domaine à une adresse IP.
Lors de votre visite sur contrepoints.org, le navigateur demande au serveur DNS l’adresse IP liée à contrepoints.org. Dans notre cas, il s’agit de 137.74.94.12. Ensuite, le navigateur va envoyer vos requêtes au serveur de contrepoints.org.
Si maintenant, par mégarde, on supprime la configuration DNS de contrepoints.org, le site reste intact, toujours en ligne, mais plus personne ne le retrouve sans connaître son adresse IP. Il reste fonctionnel mais inaccessible, comme ce fut le cas pour Facebook le lundi 4 octobre.
En plus de causer des pertes à 7 milliards en cas de mauvaise configuration, le DNS a deux défauts structurels qui fragilisent internet.
Domination américaine
Bien qu’étant un pilier d’internet, le DNS est régi par un organisme américain ICANN, qui gère les .fr, .com, .org et autres.
L’idéal serait de confier le DNS à un registre décentralisé sans tiers de confiance… aka une blockchain ! Ce fut le cas du projet NameCoin, un des plus vieux projets blockchain né seulement deux ans après Bitcoin. Malheureusement, il n’a pas décollé. Actuellement un autre projet s’annonce plus prometteur : UnstoppableDomains.
Aucune sécurité et vie privée
Lorsque votre navigateur demande en votre nom l’adresse IP derrière contrepoint.org, il le fait en clair et accepte la première réponse retournée. Une requête DNS équivaut à crier en public « Où se trouve Contrepoints ? », puis se laisser guider par le premier venu.
Ce fonctionnement permet à l’État ou à un pirate de surveiller les sites visités sur son réseau, voire d’en interdire l’accès ou encore de détourner l’utilisateur. Cet espionnage n’est nullement théorique puisqu’il est en vigueur dans la Loi Renseignement depuis 2015.
Les navigateurs déploient depuis peu la fonctionnalité DNS-over-HTTPS pour resécuriser une requête DNS. Sinon l’utilisation de TOR ou d’un VPN permet aussi d’éviter cet espionnage.
Pour aller plus loin, je vous recommande ma dernière vidéo sur le façon de se protéger de la surveillance en ligne.
Le DNS est donc une technologie indispensable à internet, mais aussi extrêmement bancale. Une simple erreur rend les sites inaccessibles. Son organisation est le symbole de la domination américaine. De plus, son fonctionnement est très naïf, ce qui a permis un espionnage par l’État.
Le bug de Facebook montre la nécessité de faire émerger de meilleures alternatives à cette technologie.
Les problèmes de DNS sont très fréquents. Que l’on monte cela en mayonnaise est une récupération de plus des activistes et politiciens pour manipuler l’opinion.
Techniquement, DNS est un simple annuaire et est LE composant du réseau qui n’est pas distribué. C’est « l’administration » d’Internet et comme par hasard son maillon faible : 1 seconde pour faire une bêtise, 7 heures pour la corriger en attendant que la correction se propage partout.
Pour la sécurité et la confidentialité du serveur qu’on utilise, il existe déjà des services cryptés et non dépendants de gens et d’entreprises « bienveillantes » ou négligentes (comme le fournisseur d’accès ou le 8.8.8.8 pour ceux qui connaissent). En revanche au niveau du service, pour rendre une administration intrinsèquement sure et efficace… C’est pas gagné ! (Et techniquement DNS est un service d’administration mondial : chercher l’erreur).
Désolé, mais beaucoup d’information erronnées ici.
Qui a validé techniquement cet article ?
Pour faire très résumé avant de me lancer dans une diatribe technique :
Si vous avez votre serveur web à la maison toto.free.fr, vous débranchez votre routeur internet.
Le site n’est plus joignable, c’est un problème de résolution toto.free.fr ? Non, c’est un problème que le routeur ne marche plus
Le problème de Facebook n’était pas un problème de DNS mais de routage.
Le DNS n’était que la conséquence et en aucun cas l’origine.
D’après le post officiel de facebook et des constatations des différents ISP, l’origine du problème était une erreur de configuration de BGP dans le backbone de l’entreprise.
En gros, sûrement un problème de redistribution ou de voisinages BGP qui sont tombés.
La conséquence est que Facebook, qui possède un AS BGP, n’annonçait plus leur plage d’IP publique à leurs différents ISP.
Donc les serveurs DNS autoritatifs n’étaient plus non plus joignable et n’annoncaient plus le nom du site aux ISP.
L’infrastructure DNS mondiale étant par design distribué, il faut un temps pour que l’information se propage.
C’est pour cette raison qu’au début de l’incident, le site de facebook ne marchait pas mais qu’on pouvait toujours résoudre l’IP. Puis au bout d’un moment il n’y avait plus de résolution du tout.
SImplement parce que tous les caches des DNS server des ISP jusqu’au Roots avaient vidés leurs cache.
Il y a pas mal de discussion et de preuves sur les forums technique qui montrent que les ISP ont perdus leur peering BGP avec Facebook.
Donc désolé mais ça n’a rien à voir avec le DNS.
L’infrasctructure DNS mondiale est plutôt robuste, certes vieille, et son principal défaut est de que la majorité des Root server est aux USA.
Les roots server DNS sont parmis les infra les plus attaqués au monde sur Internet, et ils ne sont jamais tombés.
Intéressant.
On joue donc sur les mots pour attribuer au DNS une erreur de manip interne et une fragilité relevant de la conception de l’infrastructure.
Mais au final c’est pas faux : on meurt toujours d’un arrêt du coeur.
Pour etre tout a fait exact, il s’agit d’une erreur (volontaire ou non c’est un autre debat) dans la configuration d’un routeur BGP, qui a rendu inaccessible la plage d’addresse IP des servers DNS de Facebook.
L’article de Cloudflare a ce propos l’enonce tres justement: ce n’est pas un probleme de DNS en soi, mais les servers DNS inaccessibles en sont le symptome.
https://blog.cloudflare.com/october-2021-facebook-outage/
Ou encore celui de Facebook lui meme: leurs authoritative DNS servers etaient inaccessibles bien que operationnels
https://engineering.fb.com/2021/10/05/networking-traffic/outage-details/
Pour revenir sur la domination Americaine de ces technologies, je recommande la lecture du blog de Bert Hubert, fondateur de PowerDNS. Notamment il explique que l’Europe (et ses fournisseurs d’acces) a sous traite ses technologies pendant beaucoup de temps et a perdu ses connaissances techniques au profit d’autres pays. En plus de cela le parlement Europeen essaie de reguler les entites qui font tourner les DNS racine (pour des raisons de securite, cela part d’un bon sentiment). Ces regulations peuvent faire partir des operateurs du sol Europeen et accentuer le retard de l’Europe.
https://berthub.eu/articles/posts/dont-ruin-the-root/
« une erreur (volontaire ou non c’est un autre debat) »
L’erreur est le plus probable, la malveillance le moins.
Et entre les 2 il y a aussi la possibilité d’un bug du logiciel des routeurs eux-mêmes.
Les joies de l’informatique ! Surtout quand ça remonte au plus haut niveau hiérarchique et maintenant politique. Vive le monde 3.0 !
arrêtez de donner de l’importance à facebook sur un palan qu’elle n’ a pas…
euh.. black out… par exemple…internet est évidemment fragile comme tout système complexe.
C’est divertissant en tant qu’informaticien de voir tout le monde s’agiter pour un bug (d’organisation, de conception, de paramétrage ou logiciel ?)
Chacun connait l’effet papillon en météo : un papillon qui bat de l’aile dans un hémisphère, une tornade dans l’autre hémisphère…
Les bugs informatiques n’ont souvent rien à envier à cela, tant les causes et les effets sont éloignés. Alors personnellement, je ne crois à l’explication que quand on a déployé un correctif et prouvé que dans des situations similaires (à condition de savoir les reproduire) tout se passe bien.
Le DNS est à la fois une technique (un protocole, une manière de faire, en plus déployé plusieurs fois) et un système déployé, à la racine de l’internet.
Sa technique est remarquable et marche toujours extrêmement bien, elle garantit l’universalité de l’Internet.
Son déploiement reste remarquablement efficace et stable et continue de s’améliorer. Aucun doute là dessus.
Cet article faussement moraliste et mal informé est une honte.
François Jolin est un crétin universel, on devrait lui confisquer sa box, il n’est plus digne d’utiliser l’Internet.
Facebook, tout à ses manips internes merdiques de censeur de l’internet pour des contenus addictifs et inutiles a décidé de se déconnecter du DNS. Grand bien lui fasse: 7 heures de répit pour les drogués d’une pratique malsaine, inutile et délétère.
Le suicide internet de Mark Suck-erberg (que son nom soit maudit) m’a donné bien du plaisir.
Les commentaires sont fermés.