Présent dans plus de 120 pays, le réseau Cloudflare couvre plus de 310 villes, dans lesquelles nous nous interconnectons avec plus de 13 000 opérateurs de réseau, afin de proposer une vaste gamme de services à des millions de clients.L'étendue de notre réseau et de notre clientèle nous assure un point de vue unique sur la résilience d'Internet et nous permet d'observer les répercussions des perturbations qui l'affligent. Le lancement récent d'une fonctionnalité pour Cloudflare Radar nous a permis de commencer ce trimestre en explorant les impacts du point de vue du routage et du trafic, à la fois au niveau du réseau et de l'emplacement.
Le premier trimestre 2024 a débuté par un certain nombre de perturbations d'Internet. Les dégâts subis par certains câbles terrestres et sous-marins ont causé des problèmes dans un certain nombre d'endroits, tandis que les actions militaires liées aux conflits géopolitiques en cours ont affecté la connectivité dans d'autres domaines. Les gouvernements de plusieurs pays africains, ainsi que celui du Pakistan, ont ordonné des coupures d'Internet, fortement axées sur la connectivité mobile. Un groupe d'acteurs malveillants connu sous le nom d'Anonymous Sudan a revendiqué la responsabilité de plusieurs cyberattaques ayant perturbé la connectivité Internet en Israël et à Bahreïn. Nous avons également observé des baisses de trafic suite à la mise hors ligne de nombreux utilisateurs du fait d'activités de maintenance et de coupures d'électricité. De manière plus inhabituelle, les problèmes liés à la RPKI, au DNS et aux DNSSEC figuraient parmi les problèmes techniques qui ont perturbé la connectivité des abonnés de plusieurs fournisseurs de réseau.
Comme nous l'avons indiqué par le passé, cet article aspire à proposer un aperçu des perturbations observées et ne constitue pas une liste exhaustive ou complète des incidents survenus pendant le trimestre.
Ruptures de câbles
Moov Africa Tchad
Des dégâts au niveau de câbles de fibre optique ont été signalés le 10 janvier au Cameroun et ont encore perturbé la connectivité des clients de l'AS327802 (Moov Africa Tchad/Millicom), un fournisseur de télécommunications basé au Tchad. D'après une publication Facebook de Moov Africa Tchad (traduite) : « Dans l'après-midi du 10 janvier 2024, une panne d'Internet a été observée et attribuée à la rupture d'un câble de fibre optique provenant du Cameroun et grâce auquel le Tchad a accès à Internet, celui provenant du Soudan étant indisponible pendant un certain temps ». Nous ignorons si la rupture du câble concerné s'est produite au Cameroun ou au Tchad, tandis que la défaillance mentionnée au niveau du câble en provenance du Soudan peut être liée à celle que nous avons traitée dans notre article récapitulatif du quatrième trimestre 2023. En tant que pays enclavé, le Tchad dépend de connexions Internet terrestres vers/via les pays voisins. La carte des câbles d'AfTerFibre illustre la dépendance du Tchad envers un nombre limité de voies de passage de câbles traversant le Cameroun et le Soudan.
Les graphiques ci-dessous montrent que le trafic de Moov Africa Tchad a été perturbé pendant plus de 12 heures à partir de midi (UTC) le 10 janvier et que cette perturbation était également visible au niveau national. La rupture de câble a également entraîné une grande volatilité du point de vue du routage, car le volume de l'espace d'adressage IPv4 annoncé a fréquemment changé au niveau du réseau et du pays pendant la perturbation.
Une deuxième perturbation moins grave a également été observée dans la matinée (UTC) du 11 janvier. Cette perturbation résultait censément d'une cyberattaque présumée, lancée par Anonymous Sudan et visant l'AS328594 (SudaChad Telecom), un fournisseur d'amont de Moov Africa Tchad.
Orange Burkina Faso
Le 15 février, une perturbation d'Internet brève (environ 30 minutes), mais totale, a été observée au niveau de l'AS37577 (Orange Burkina Faso). D'après la traduction d'un communiqué publié par le fournisseur sur ses réseaux sociaux, « L'incident est dû à une rupture de fibre optique, qui a entraîné une perturbation des services Internet pour certains clients ». Orange n'a pas spécifié s'il s'agissait d'une rupture de fibre plus localisée ou de dégâts subis par l'un des câbles terrestres qui traversent le pays. L'incident a entraîné la complète déconnexion du réseau, car la quantité d'espace d'adressage IPv4 annoncée par l'ASN est tombée à zéro pendant l'incident.
MTN Nigeria
MTN Nigeria s'est exprimée sur les réseaux sociaux le 28 février pour informer ses clients du message suivant : « Vous pouvez avoir rencontré des difficultés pour vous connecter au réseau en raison d'une panne de service majeure causée par plusieurs ruptures de câbles de fibre optique, qui ont affecté nos services de voix et de données ». Le rapport publié par la suite a décrit les répercussions, en précisant que « des millions de clients à travers le pays ont été affectés par cette panne de plusieurs heures, notamment à Lagos ». La connectivité a été interrompue pendant environ sept heures entre 13 h 30 et 20 h 30 heure locale (12 h 30 et 19 h 30 UTC). Le fournisseur a publié une annonce de suivi peu avant minuit heure locale, pour indiquer que le service était entièrement rétabli.
Digicel Haïti
La perturbation Internet d'une durée de 16 heures survenue les 2 et 3 mars au niveau de l'AS27653 (Digicel Haïti) était due à une double rupture de fibre résultant de violences liées aux tentatives de renversement du Premier ministre Ariel Henri. À partir de 22 h heure locale le 2 mars (3 h le 3 mars UTC), nous avons constaté une panne totale d'une durée d'environ neuf heures. Une reprise du trafic s'est produite pendant près de deux heures et demie, suivie d'une perturbation quasi totale de trois heures. Dans les faits, Digicel Haïti a disparu d'Internet pendant la panne de neuf heures, car aucun espace d'adressage IPv4 ou IPv6 n'a été annoncé par le réseau pendant cette période.
SKY (Philippines)
La brève interruption du trafic observée au niveau de l'AS23944 (SKY) aux Philippines le 18 mars était probablement liée à une rupture de fibre optique. Dans un avis publié par SKY sur les réseaux sociaux, l'entreprise a déclaré le message suivant : « les services SKY de plusieurs secteurs de Marikina, Pasig et Quezon City sont actuellement affectés par un problème de rupture de fibre optique », accompagné par une liste des 45 secteurs affectés. Le trafic a été plus fortement affecté entre 20 h et 21 h heure locale (12 h et 13 h UTC), bien que le rétablissement complet ait demandé plusieurs heures. Nous n'avons observé que des répercussions mineures sur le routage résultant de la rupture de fibre optique.
Plusieurs pays d'Afrique
Le 14 mars, des dégâts subis par plusieurs câbles sous-marins situés au large de la côte ouest de l'Afrique ont affecté la connectivité Internet de plusieurs pays d'Afrique occidentale et australe. Les dégâts seraient dus à des chutes de pierres sous-marines et ont également entraîné des problèmes de disponibilité pour les services cloud de Microsoft Azure et d'Office 365, en plus de perturber la connectivité Internet.
Les câbles Africa Coast to Europe (ACE), Submarine Atlantic 3/West Africa Submarine Cable (SAT-3/WASC), West Africa Cable System (WACS) et MainOne ont tous été endommagés et ces dégâts ont affecté 13 pays africains : le Bénin, le Burkina Faso, le Cameroun, la Côte d'Ivoire, la Gambie, le Ghana, la Guinée, le Liberia, la Namibie, le Niger, le Nigeria, l'Afrique du Sud et le Togo.
Des perturbations relativement brèves (de moins d'une heure à environ deux heures) ont été observées au Niger, en Guinée et en Gambie.
Toutefois, ces perturbations se sont étendues sur plusieurs jours dans d'autres pays, comme le Togo, le Liberia et le Ghana, où il a fallu plusieurs semaines pour que le trafic retrouve les niveaux de pic observés précédemment.
Les opérateurs des pays concernés ont tenté de maintenir la disponibilité en transférant le trafic vers le câble sous-marin Equiano de Google, qui aurait vu son trafic multiplié par quatre, ainsi que vers le Maroc via le câble sous-marin Maroc Telecom West Africa. Le service sur le câble SAT-3 a été intégralement restauré dès le 6 avril, tandis que les réparations sur les autres câbles ont demandé plus de temps (les travaux ont été achevés sur l'ACE le 17 avril et doivent être terminés le 28 avril pour le WACS et MainOne).
Vous trouverez davantage de détails et d'observations dans notre article de blog intitulé Undersea cable failures cause Internet disruptions for multiple African countries (Des défaillances survenues au niveau de certains câbles sous-marins ont entraîné des perturbations d'Internet dans plusieurs pays africains).
Mer Rouge
Le 24 février, trois câbles sous-marins traversant la mer Rouge ont été endommagés : le câble Seacom/Tata, l'Asia Africa Europe-1 (AAE-1) et l'Europe India Gateway (EIG). On pense que les câbles ont été sectionnés par l'ancre du Rubymar, un cargo endommagé par un missile balistique le 18 février. Au moment de la perturbation, Seacom a confirmé les dégâts infligés à leur câble, mais les propriétaires des autres n'ont pas publié de confirmations similaires.
Bien que les ruptures de câble aient affecté plusieurs pays d'Afrique de l'Est, parmi lesquels la Tanzanie, le Kenya, l'Ouganda et le Mozambique, aucune perte de trafic n'a été observée au sein de ces pays dans Cloudflare Radar.
Intervention militaire
Soudan
Le 2 février, Cloudflare a observé une chute du trafic des opérateurs AS15706 (Sudatel) et AS36972 (MTN Sudan), tandis qu'une baisse similaire s'est produite le 7 février pour l'AS36998 (Zain Sudan/SDN Mobitel). Le moment de la perturbation chez MTN Sudan correspond à celui de la publication d'un article sur les réseaux sociaux du fournisseur, dans laquelle il déclarait (traduit) : « Nous déplorons l'interruption de tous nos services du fait de circonstances indépendantes de notre volonté. Nous nous excusons pour la gêne éventuelle occasionnée par cette interruption et vous assurons que nous faisons notre possible pour rétablir le service dans les plus brefs délais. Vous serez informés du retour de nos services lorsque nous aurons résolu l'incident ». Le 5 février, plusieurs jours après le début de cette panne, Zain Sudan a publié un article sur les réseaux sociaux informant ses usagers du message suivant (traduit) : « Zain Sudan s'efforce continuellement de maintenir ses services de communication et son service Internet afin de servir ses précieux abonnés. Nous tenons à préciser que la panne actuelle du réseau est due à des circonstances indépendantes de notre volonté, et espérons que la sécurité prévaudra et que le service sera rétabli dès que possible ». Sudatel n'a communiqué aucune information sur l'état de son réseau. Le 4 février, Digital Rights Lab — Sudan a publié ce qui suit sur les réseaux sociaux : « Nos sources ont confirmé que les forces du @RSFSudan ont pris le contrôle des datacenters des FAI à Khartoum (#Sudan) ». Il est probable que les coupures d'Internet observées chez ces fournisseurs soient liées à ces prises de contrôle, effectuées dans le cadre du conflit militaire qui sévit dans le pays depuis le 15 avril 2023.
Les perturbations affectant ces réseaux ont été plus ou moins longues. Le trafic de Sudatel a ainsi repris le 11 février chez Sudatel, tandis que le trafic de Zain Sudan a commencé à revenir le 3 mars, comme le confirme une publication sur les réseaux sociaux stipulant (traduit) : « Zain voit son réseau revenir progressivement en ligne et permet à ses abonnés de communiquer gratuitement pendant une période limitée Zain promet de continuer à travailler à la restauration de son réseau dans le reste des États ». Le trafic n'était pas encore revenu sur MTN Sudan à la fin du premier trimestre.
Ukraine
En février, la guerre entre l'Ukraine et la Russie a franchi la barre des deux ans et nous avons couvert un certain nombre de pannes du réseau Internet ukrainien causées par des attaques liées au conflit pendant cette période. Le 22 février, des frappes aériennes russes contre des infrastructures essentielles ukrainiennes ont endommagé des centrales énergétiques à travers tout le pays et ainsi entraîné des pannes de courant généralisées. Ces coupures ont provoqué des perturbations d'Internet dans de nombreuses régions d'Ukraine, notamment Kharkiv, Zaporijia, Odessa, l'oblast de Dnipropetrovsk et l'oblast de Khmelnytskyï. Le trafic a commencé par chuter autour de 5 h heure locale (3 h UTC), avec une baisse de 68 % enregistrée à Kharkiv. Toutes les régions ont toutefois connu pendant plusieurs jours des niveaux de trafic inférieurs à ceux de la semaine précédente.
Bande de Gaza
Dans le récapitulatif des perturbations d'Internet au quatrième trimestre 2023 publié sur notre blog, nous avons noté qu'au cours des mois d'octobre, novembre et décembre, Paltel (Palestine Telecommunications Company) avait publié plusieurs articles sur les réseaux sociaux consacrés à des perturbations de ses services de téléphonie fixe, de téléphonie mobile et Internet. Au cours du premier trimestre 2024, des pannes similaires ont été observées le 12 janvier, le 22 janvier et le 5 mars. Paltel attribue ces défaillances à des actes d'agression liés à la guerre avec Israël.
Les pannes associées survenues au cours du trimestre se sont montrées plus ou moins longues, de quelques heures à plus d'une semaine. Chaque panne est illustrée sur les graphiques ci-dessous, qui représentent le trafic de Paltel dans quatre gouvernorats palestiniens de la région de la bande de Gaza. S'il apparaît que le gouvernorat de Gaza a plutôt subi une perturbation de trafic, car la connectivité est restée disponible, des pannes totales ont été observées dans les gouvernorats de Khan Yunis, Rafah et Deir al-Bah.
12–19 janvier
 |
 |
 |
 |
22–24 janvier
 |
 |
 |
 |
5 mars
 |
 |
 |
 |
Cyberattaques
En plus de la cyberattaque précédemment évoquée qui a affecté la connectivité de l'AS327802 (Moov Africa Tchad/Millicom) le 11 janvier, plusieurs autres perturbations d'Internet observées au cours du premier trimestre résultaient de cyberattaques.
HotNet Internet Services (Israël)
Anonymous Sudan aurait lancé une attaque contre l'AS12849 (HotNet Internet Services), un important fournisseur de télécommunications israélien. L'attaque s'est révélée apparemment brève, puisqu'elle n'a perturbé le trafic que de 22 h le 20 février à 0 h le 21 février heure locale (de 20 h à 22 h UTC le 20 février). Malgré sa faible durée, l'attaque a réussi à mettre le fournisseur hors ligne, car le volume de l'espace d'adressage IPv4 et IPv6 annoncé par HotNet est tombé à zéro sur la période de l'attaque.
Zain Bahrain
Anonymous Sudan aurait également lancé une cyberattaque contre l'AS31452 (Zain Bahrain). L'attaque s'est révélée moins grave que celle qui a ciblé HotNet en Israël, mais elle a également duré beaucoup plus longtemps, avec des perturbations du trafic comprises entre 20 h 45 le 3 mars et 18 h 15 le 4 mars heure locale (17 h 45 le 3 mars à 15 h 15 le 4 mars UTC). Nous n'avons observé aucune incidence sur l'espace d'adressage IP annoncé. Zain Bahrain a reconnu la perturbation de la connectivité dans une publication mise en ligne sur ses réseaux sociaux le 4 mars. Cette dernière stipulait ce qui suit (traduit) : « Nous souhaitons vous informer que certains clients peuvent rencontrer des difficultés lors de l'utilisation de certains de nos services. Notre équipe technique s'efforce de trouver une solution afin de vous éviter ces difficultés aussi rapidement que possible ».
Plusieurs réseaux en Ukraine
Le 13 mars, une attaque a visé un certain nombre de fournisseurs de télécommunications ukrainiens, dont l'AS16066 (Triangulum), l'AS34359 (Link Telecom Ukraine), l'AS197522 (Kalush Information Network), l'AS52074 (Mandarun) et l'AS29013 (LinkKremen). Triangulum s'est révélé le plus fortement impacté, avec une perte de trafic quasi totale entre le 13 et le 20 mars, comme illustré ci-dessous. Triangulum a publié une annonce sur son site web, qui indiquait notamment que « le 13 mars 2024, des pirates informatiques ont lancé une attaque à l'encontre d'un certain nombre de fournisseurs ukrainiens. À 10 h 28 le 13 mars 2024, une défaillance technique de grande ampleur s'est produite sur le réseau de notre entreprise, rendant impossible la fourniture de services de communication électronique. Les collaborateurs de l'entreprise, en coopération avec les agents de la cyberpolice et le centre national de coordination de la cybersécurité, travaillent sans relâche au rétablissement de l'ensemble de notre gamme de services dans les plus brefs délais. Ces services sont rétablis progressivement, mais le rétablissement complet pourrait demander plusieurs jours ».
Les autres fournisseurs affectés ont connu des épisodes d'interruption de la connectivité comparativement plus courts. La défaillance quasi complète constatée chez Mandarun a duré environ une journée, tandis que les autres ont connu des pannes d'environ sept heures, à partir de 11 h 30 heure locale (9 h 30 UTC) le 13 mars, avec un retour de la connectivité à son niveau habituel vers 8 h heure locale (6 h UTC) le 14 mars.
Coupures d'origine gouvernementale
Comores
Après les manifestations contre la réélection du président Azali Assoumani, les autorités des Comores auraient procédé à une coupure de la connectivité Internet le 17 janvier. Si le trafic a connu des perturbations visibles au niveau national entre 12 h heure locale le 17 janvier (9 h UTC) et 17 h 30 heure locale le 19 janvier (14 h 30 UTC), ces dernières étaient beaucoup plus perceptibles au sein du trafic provenant de l'AS36939 (Comores Telecom), qui a connu plusieurs périodes de défaillance quasi totale sur cette période de deux jours. Bien que Comores Telecom annonce une quantité limitée d'espace d'adressage IPv4, le site a connu une grande volatilité les 17 et 18 janvier, avec un trafic tombant à zéro à plusieurs reprises.
Sudatel Senegal/Expresso Telecom et Tigo/Free (Sénégal)
Le 4 février, le ministre de la Communication, des télécommunications et des affaires numériques du Sénégal a ordonné la suspension de la connectivité Internet mobile à partir de 22 h heure locale (22 h UTC). Cette suspension faisait suite aux manifestations qui ont éclaté dans le sillage du report de l'élection présidentielle. Le trafic de l'AS37196 (Sudatel Senegal/Expresso Telecom) a brusquement chuté lorsque la suspension est entrée en vigueur, avant de se rétablir vers 7 h 30 heure locale (7 h 30 UTC) le 7 février. Le trafic issu de l'AS37649 (Tigo/Free) est tombé autour de 9 h 30 heure locale (9 h 30 UTC) le 5 février, suite à quoi le fournisseur a informé ses abonnés de la suspension via les réseaux sociaux. Le trafic sur Tigo/Free a repris vers minuit heure locale (0 h UTC) le 7 février et le fournisseur s'est à nouveau tourné vers les réseaux sociaux pour informer ses abonnés de la remise en ligne de son service. Aucune modification n'a été observée au niveau de l'espace d'adressage IP annoncé par l'un ou l'autre des fournisseurs, un point qui semblerait indiquer que la suspension de la connectivité Internet mobile n'a pas été effectuée au niveau du routage.
Un peu plus d'une semaine plus tard, le 13 février, le gouvernement sénégalais a de nouveau ordonné la suspension de la connectivité Internet mobile dans le but d'empêcher « la propagation de messages à caractère haineux et subversif en ligne » avant une marche organisée par des groupes d'activistes souhaitant exprimer leur opposition au report de l'élection présidentielle. L'interruption de la connectivité Internet mobile a été particulièrement visible sur Tigo/Free, qui a connu d'importantes perturbations entre 10 h 15 et 19 h 45 heure locale (10 h 15 – 19 h 45 UTC).
Pakistan
Selon un rapport publié, la Pakistan Telecommunication Authority (PTA, l'autorité des télécommunications du Pakistan) a déclaré que les services Internet resteraient disponibles pendant que les citoyens se rendraient aux urnes le 8 février afin d'élire un nouveau gouvernement. Toutefois, le jour dit, les autorités pakistanaises ont coupé l'accès au réseau Internet mobile dans l'ensemble du pays alors que les électeurs du pays allaient voter, en attribuant cette décision au « maintien de l'ordre » après les violences survenues le jour précédent. Les répercussions de cette coupure ont été visibles sur plusieurs fournisseurs d'accès Internet au Pakistan, notamment l'AS59257 (Zong/CMPak), l'AS24499 (Telenor Pakistan) et l'AS45669 (Jazz/Mobilink). Elles ont duré de 7 h à 20 h (2 h – 15 h UTC), avec un retour du trafic aux niveaux attendus environ neuf heures plus tard. Une publication parue sur le blog Pulse de l'Internet Society a estimé que la coupure a coûté près de 18,5 millions de dollars de PIB au Pakistan.
Tchad
Plusieurs perturbations d'Internet ont été observées au Tchad entre le 28 février et le 7 mars. La première a commencé à 10 h 45 heure locale le 28 février et a duré jusqu'à 18 h heure locale le 1er mars (9 h 45 UTC le 28 février – 17 h UTC le 1er mars). Des interruptions plus brèves, d'une durée de quelques heures seulement, ont également été observées les 3, 4 et 7 mars. Ces coupures apparentes sont survenues dans le sillage des violences politiques commises dans le pays. Nous avons observé une chute notable de l'espace d'adressage IPv4 annoncé (agrégé sur l'ensemble des réseaux du pays), qui coïncidait avec les coupures du 28 février, du 3 mars et du 4 mars. Nous ne savons toutefois pas de manière claire pourquoi une baisse similaire ne s'est pas produite le 7 mars.
Coupures de courant
Tadjikistan
Selon un rapport publié, une panne de courant générale de plusieurs heures s'est produite au Tadjikistan le 1er mars, potentiellement liée à une augmentation de la consommation d'électricité due aux chauffages électriques, alors que les températures approchent du zéro dans tout le pays. La panne a commencé aux alentours de 11 h heure locale (6 h UTC) et s'est poursuivie pendant près de trois heures. L'impact sur le trafic Internet en provenance du pays est visible sur le graphique ci-dessous. Bien que le courant ait été rétabli vers 14 h heure locale (9 h UTC), le trafic Internet n'est pas revenu aux niveaux attendus avant 5 h heure locale le lendemain (0 h UTC le 2 mars).
Si les pannes de courant ont bien souvent l'impact le plus important sur le trafic Internet, en entraînant l'extinction des ordinateurs et des routeurs domestiques/de bureau, ces coupures semblent également avoir affecté l'infrastructure réseau du pays, car le volume global (agrégé) de l'espace d'adressage IPv4 annoncé dans le pays a légèrement baissé lorsque le courant était coupé.
Tanzanie
Le 4 mars, la Tanzanie Security Corporation (TANESCO) a publié une annonce sur les réseaux sociaux concernant une panne de courant en cours. Cette publication stipulait ce qui suit (traduit) : « La Tanzania Security Corporation (TANESCO) informe le public d'une erreur survenue sur le réseau national, entraînant une perte de la fourniture d'électricité dans certaines régions du pays, dont Zanzibar. Nos experts poursuivent leurs efforts pour s'assurer que nos services de fourniture d'électricité reprennent leur cours normal. L'entreprise présente ses excuses pour les désagréments occasionnés ». La panne de courant a perturbé la connectivité Internet en Tanzanie, en entraînant une chute notable du trafic entre 13 h 30 et 23 h heure locale (10 h 30 – 20 h UTC).
Problèmes techniques
Orange España
Le routage réseau est le processus de sélection d'un itinéraire à travers un ou plusieurs réseaux et, sur Internet, il repose sur le protocole Border Gateway Protocol (BGP). Historiquement, l'échange d'informations de routage BGP se basait sur la confiance entre les fournisseurs, mais au fil du temps, divers mécanismes de sécurité tels que la Resource Public Key Infrastructure (RPKI, infrastructure de gestion de clés publiques de ressources) ont été développés pour empêcher l'utilisation abusive du système par des acteurs malveillants. La RPKI est une méthode cryptographique permettant de signer des enregistrements qui associent une annonce de routage BGP au numéro d'AS d'origine approprié. Les enregistrements ROA (Route Origin Authorization, autorisation d'origine de routage) permettent de vérifier qu'un détenteur de bloc d'adresses IP a autorisé un AS (Autonomous System, système autonome) à être à l'origine d'itinéraires vers un ou plusieurs préfixes du bloc d'adresses. Au fil des ans, Cloudflare a publié un certain nombre d'articles de blog sur l'importance de la RPKI et sur notre prise en charge de cette dernière. Correctement mis en œuvre et configurés, la RPKI et les ROA contribuent à soutenir la sécurité du routage, en empêchant dans les faits divers comportements, comme le détournement de BGP.
Le RIPE NCC (« RIPE ») est l'un des cinq registres Internet régionaux (RIR) permettant l'allocation et l'enregistrement des ressources Internet, ainsi que les activités de coordination. Régionalement, le RIPE couvre l'Europe, le Moyen-Orient et l'Asie centrale. Le 3 janvier, un acteur malveillant a profité du laxisme de la sécurité des comptes de la part du RIPE et de l'AS12479 (Orange España), ainsi que d'identifiants de seconde main trouvés sur le réseau Internet public, pour se connecter au compte RIPE d'Orange España. Une fois la prise de contrôle du compte effectuée, l'acteur malveillant a publié plusieurs ROA avec des origines « factices », qui ont ainsi rendu des milliers d'itinéraires originaires de l'AS12479 « RPKI-invalid » (invalides du point de vue de la RPKI). En conséquence, les opérateurs ont rejeté les itinéraires RPKI-invalid et cessé de transmettre une grande partie de l'espace d'adressage IP d'Orange España.
Comme Cloudflare applique la validation RPKI, nous avons également rejeté ces itinéraires RPKI-invalid. Nous aurions commencé à essayer de joindre Orange España via notre itinéraire par défaut vers certains de nos fournisseurs de transit, mais comme ces derniers appliquent la validation RPKI, le trafic aurait également été interrompu au sein des réseaux de ces fournisseurs. Du point de vue de Cloudflare, cet incident a donc entraîné une chute du trafic en provenance d'Orange España entre 16 h 45 et 19 h 45 heure locale (14 h 45 – 17 h 45 UTC), ainsi qu'une baisse notable de l'espace d'adressage IPv4 annoncé par l'AS12479.
Orange España a confirmé sur les réseaux sociaux que son compte RIPE avait fait l'objet d'un accès non autorisé et, suite à l'incident, le RIPE a rendu obligatoire l'authentification à deux facteurs (2FA) pour les connexions. Pour plus d'informations sur l'incident, Doug Madory de Kentik et Ben Cartwright-Cox de bgp.tools ont tous deux publié des analyses et des calendriers détaillés.
MaxNet (Ukraine)
Le 11 janvier, les abonnés de l'AS34700 (MaxNet) en Ukraine ont subi une coupure d'Internet de neuf heures. L'effondrement initial du trafic s'est produit autour de 16 h heure locale (14 h UTC) et a repris vers 1 h heure locale le 12 janvier (23 h UTC le 11 janvier). Une première publication sur les réseaux sociaux du fournisseur expliquait la panne et ses raisons en ces termes (traduit) : « Chers abonnés ! En raison de l'inondation de l'un de nos sites centraux attribuée à un dysfonctionnement au niveau d'un fournisseur de services publics, certains secteurs de la ville pourraient se retrouver privés de nos services, partiellement ou totalement. Nous mettons tout en œuvre pour rétablir les services, mais l'opération demande du temps. Nous publierons de plus amples informations concernant les heures de remise en service dès que nous aurons terminé les travaux d'urgence ». Une publication ultérieure a informé les abonnés du rétablissement de la connectivité Internet. L'inondation a apparemment aussi touché l'infrastructure de routage centrale, car le volume de l'espace d'adressage IPv4 annoncé par MaxNet a également chuté à zéro entre 16 h et 22 h heure locale (14 h – 20 h UTC).
Plusnet (United Kingdom)
La perturbation du trafic observée sur l'AS6871 (Plusnet) au Royaume-Uni le 15 janvier a d'abord été caractérisée comme une « panne massive » par le fournisseur dans ses réponses aux plaintes des clients sur les réseaux sociaux. La cause profonde de la perturbation s'est toutefois révélée beaucoup moins sensationnelle. Elle était apparemment liée à des problèmes au niveau du DNS de son serveur. L'impossibilité pour les abonnés de résoudre les noms d'hôtes à l'aide des résolveurs DNS par défaut de Plusnet a entraîné une chute du trafic sur le réseau pendant environ deux heures, entre 16 h et 18 h heure locale (et UTC). Les utilisateurs qui avaient configuré leurs systèmes pour utiliser un résolveur DNS tiers, comme le service 1.1.1.1 de Cloudflare, n'ont pas subi de perturbation du service.
Russie
Les problèmes DNS ont également touché des utilisateurs en Russie au mois de janvier, bien que d'une manière différente de celui subi par les abonnés Plusnet au Royaume-Uni. Un signalement a fait état d'une défaillance du protocole DNSSEC le 30 janvier, qui a rendu les domaines .ru inaccessibles pendant plusieurs heures. (Le protocole DNSSEC crée un système de noms de domaine sécurisé en ajoutant des signatures cryptographiques aux enregistrements DNS existants. En contrôlant les signatures associées, vous pouvez vérifier que l'enregistrement DNS demandé provient bien de son serveur de noms de référence et qu'il n'a pas été modifié en cours de route, contrairement à un faux enregistrement injecté dans le cas d'une attaque de l'homme du milieu).
L'échec de la validation DNSSEC a entraîné des réponses SERVFAIL dans les recherches DNS effectuées à l'aide du résolveur 1.1.1.1 de Cloudflare pour les noms d'hôtes du ccTLD (country code top level domain, domaine de premier niveau avec indicatif du pays) .ru. Au pic de la perturbation, 68,4 % des requêtes ont reçu une réponse SERVFAIL. Le centre de coordination du ccTLD .ru a confirmé qu'il travaillait sur le « problème technique affectant la zone .ru associée à l'infrastructure DNSSEC mondiale », mais n'a pas fourni de détails supplémentaires concernant la cause première du problème, comme un problème potentiel avec le renouvellement d'une clé DNSSEC. Le ccTLD .ru avait déjà connu une panne similaire liée aux DNSSEC pendant plusieurs heures le 16 août 2019.
AT&T (États-Unis)
Un peu avant 4 h EST/3 h CST (9 h UTC) le 22 février, les abonnés AT&T de plusieurs villes aux États-Unis ont fait les frais d'interruptions du service mobile. Atlanta, Houston et Chicago figuraient parmi les villes touchées et la connectivité a été interrompue pendant environ huit heures. Les données de Cloudflare ont révélé que lorsque l'incident a débuté, le trafic d'AT&T (AS7018) a chuté de 45 % à Chicago et de 18 % à Dallas par rapport à la semaine précédente.
D'après une « actualité du réseau » publiée par AT&T, « Après examen initial, nous pensons que la panne d'aujourd'hui résultait de l'application et de l'exécution d'un processus incorrect lors de l'extension de notre réseau et non d'une cyberattaque ».
Entretien
Vodafone Egypt
Le 5 mars, entre 5 h 15 et 11 h 30 heure locale (3 h 15 – 9 h 30 UTC), les clients de l'AS36935 (Vodafone Egypt) ont subi des perturbations de leur connectivité Internet mobile et le trafic observé sur le réseau a chuté de jusqu'à 70 % par rapport aux niveaux attendus. Dans une publication parue sur les réseaux sociaux (traduite), le fournisseur précisait notamment : « Nous vous présentons nos excuses pour les problèmes rencontrés dans certains secteurs, actuellement affectés par des difficultés d'exploitation du service 4G liées à des mises à jour survenues ce matin ». Suite à cette panne du réseau 4G, Vodafone a dû indemniser les clients affectés et s'est également vue imposer une amende par la NTRA (National Telecommunications Regulatory Authority, l'autorité nationale de réglementation des télécommunications) égyptienne.
Ocean Wave Communication (Myanmar)
Le 12 mars, juste avant midi heure locale (5 h 15 UTC), une chute importante du trafic a été observée sur l'AS136442 (Ocean Wave), un fournisseur d'accès Internet et de fibre optique grand public au Myanmar. Une publication parue sur les réseaux sociaux du fournisseur indiquait ce qui suit (traduit) : « Les clients d'Ocean Wave sont informés qu'il ne leur sera pas possible de se connecter à Internet ou que cette connexion sera lente en raison d'opérations de maintenance sur le réseau ». La perturbation de la connectivité a duré environ sept heures, avec un retour du trafic à un niveau habituel peu avant 19 h heure locale (12 h 15 UTC).
Conclusion
Deux événements notables affectant des câbles sous-marins et survenus au cours du premier trimestre ont, une fois encore, souligné la nécessité de protéger les câbles sous-marins, ainsi que les risques associés à leur passage dans des zones géopolitiquement sensibles ou à proximité de celles-ci. Compte tenu de la dépendance envers les câbles sous-marins pour la transmission du trafic Internet, ce problème demeurera un problème pendant de nombreuses années.
L'incident survenu chez Orange España a également mis en lumière l'importance de la sécurisation des ressources importantes sur le plan opérationnel via l'authentification multifacteurs, un sujet déjà traité par Cloudflare par le passé. Les organisations comme le RIPE jouent un rôle crucial, bien que dans les coulisses, concernant le fonctionnement d'Internet. Cette position leur impose ainsi la nécessité de prendre toutes les précautions pratiques pour sécuriser leurs systèmes, afin d'empêcher les acteurs malveillants de mettre en œuvre d'éventuelles actions susceptibles de perturber largement la connectivité Internet.
L'équipe Cloudflare Radar surveille en permanence les perturbations d'Internet et partage ses observations sur le Cloudflare Radar Outage Center, sur les réseaux sociaux et par le biais d'articles publiés sur blog.cloudflare.com. Suivez-nous sur les réseaux sociaux : @CloudflareRadar (X), cloudflare.social/@radar (Mastodon) et radar.cloudflare.com (Bluesky), ou contactez-nous par e-mail.