L’AFNIC défend son infrastructure technique face au bug du RIPE
Fin août, une panne a affecté des prestataires et opérateurs utilisant des routeurs Cisco dont le système IOS comportait un bug. Elle a semé la pagaille sur le Net. Mais l’AFNIC, qui gère l’extension « .fr », dément la moindre indisponibilité totale.
Le 27 août dernier, un grand nombre de fournisseurs d’accès Internet et autres opérateurs possédant un AS (système autonome) ont été coupés du monde temporairement.
En cause, un bug dans les systèmes IOS (Internetwork Operating System) qui sont intégrés dans les routeurs Cisco et qui sont utilisés par ces différents prestataires réseaux.
Dans le cadre d’une expérience qui nécessitait le recours à un attribut jusqu’à présent inutilisé (le numéro 99), l’envoi d’annonces de routage BGP par le RIPE a révélé un bogue dans certaines versions du logiciel distribué par Cisco avec ses routeurs.
Ce bug a donc entraîné la corruption de l’annonce BGP. Et donc la fermeture de la session BGP par le routeur suivant qui recevait cette annonce corrompue.
Cette fermeture entraînait le retrait des routes annoncées et, dans certains cas, l’inaccessibilité de certains réseaux.
En France, Free a été touché durant un peu plus de 30 minutes le 27 août en fin de matinée. Mais il n’est pas le seul. Car l’AFNIC, qui gère l’extension « .fr », a également été confronté à l’incident.
« Les serveurs DNS, comme tous les serveurs de l’Internet, dépendent de BGP pour annoncer les routes », explique l’association française de nommage sur son site Internet.
Les explications du RIPE, qui se basent sur un service de monitoring des services DNS, laissent entendre que les serveurs gérant le « .fr » ont été particulièrement impactés. Mais l’AFNIC s’en défend.
« A aucun moment, même pendant une milliseconde, le service de résolution de ‘.fr’ n’a été interrompu« , déclare l’équipe technique de l’AFNIC. « La fiabilité du DNS dépend en effet de l’existence de plusieurs serveurs faisant autorité pour une zone, sept dans le cas de ‘.fr’, dont on peut rappeler que quatre sont composés de plusieurs machines physiques sur plusieurs sites. »
Dans l’optique d’améliorer les temps de réponse et la fiabilité de son système, l’organisation a déployé en début d’année un nuage anycast.
Lorsqu’un seul serveur fonctionne encore, « la résolution de noms se poursuit sans que l’utilisateur ne s’aperçoive de rien. D’innombrables petites pannes sont ainsi vues par un outil [de monitoring, ndlr] comme DNSMON, sans qu’elles se traduisent par des problèmes perçus. »
De plus, l’association en charge du nommage sur Internet en France, qui se déclare prête en cas d’incident majeur, tient à préciser qu’elle n’utilise aucun des routeurs Cisco concernés.
« Cette panne n’a donc pas affecté directement nos routeurs » , considère l’AFNIC.