Indisponibilité d’Oxalide : une erreur humaine et non une attaque

crédit photo © dotshock - shutterstock

« C’est réellement une panne et ce n’est pas de chance. » Sur le Forum International de la Cybersécurité (FIC), qui se tenait les 20 et 21 janvier à Lille, Guillaume Poupard, le directeur général de l’Anssi, a confirmé ce qui se dessinait déjà depuis plusieurs jours : l’indisponibilité qu’a connue l’hébergeur Oxalide en fin de semaine dernière est bien due à une panne et non à une attaque. Vendredi dernier, en pleine campagne OpFrance de défacement de sites français, plusieurs média nationaux très exposés (L’Express, Le Parisien, 20 Minutes, France Inter, Mediapart, Marianne, Slate.fr…), tous hébergés par le prestataire, ont disparu de la Toile pendant environ 90 minutes. Faisant craindre une attaque ciblée contre Oxalide.

Si les premiers éléments tendaient à écarter cette hypothèse (Oxalide a très vite expliqué qu’il ne s’agissait pas d’une attaque par déni de service), la société a confirmé hier soir qu’il s’agissait bien d’une panne, qui a affecté simultanément ses routeurs de cœur de réseaux suite à une « opération de routine ». L’indisponibilité résulte, à l’origine, d’une erreur humaine. « La connexion d’un élément actif sur notre réseau interne d’administration dédié à la gestion des routeurs uniquement a provoqué une réaction en chaîne de type Broadcast Storm, qui a déclenché le mécanisme de protection de tous les nœuds », expliquent les deux dirigeants dans un billet de blog sur le site de la société. Les Broadcast Storm (littéralement tempêtes de diffusion) se caractérisent par des trames tournant indéfiniment sur le réseau et consommant une bonne partie des ressources. Leurs effets peuvent donc s’apparenter à ceux des attaques par déni de service (DDoS).

Signalons qu’en 2009, Colt avait connu une panne résultant d’un Broadcast Storm et affectant 9 villes européennes desservies par l’opérateur britannique. Ces tempêtes réseau peuvent résulter d’erreurs de topologie réseau, mais aussi de malveillances externes.

Oxalide exposé

La tempête sur le cœur de réseau d’Oxalide (constitué de 4 nœuds) a provoqué la déconnexion de la dizaine de liens qu’a établie l’hébergeur avec les opérateurs et FAI. Coupant ainsi d’Internet les médias et e-commerçants qu’il héberge. Même si la société écarte toute intervention malicieuse, l’actualité n’en a pas moins joué un rôle : « Ces éléments de contexte, ainsi que l’actualité liée aux cyberattaques, ont malheureusement ralenti notre diagnostic et le rétablissement du service. » En clair, Oxalide a d’abord pensé être victime d’un DDoS et a enquêté en ce sens, avant d’identifier la cause réelle.

L’indisponibilité dont ont été victimes de grands média français a par contre placé les projecteurs sur Oxalide, devenu une cible potentielle pour des hackers souhaitant s’en prendre à la presse française (rappelons que cette semaine, l’armée électronique syrienne a brièvement pris le contrôle du compte Twitter du Monde). Selon nos informations, l’hébergeur a, depuis cette affaire, essuyé quelques attaques DDoS, notamment dans la journée du 21 janvier.