¨ Dépannage-Maintenance-Formation-Informatique Astuce info , Service CDN Cloud Flare
Service CDN Cloud Flare : l’accès à 785 000 sites affecté le 3 mars par une « erreur technique »
Auteur : Frédéric Hourdeau Catégorie : Articles Thème : Sécurité
Le service CDN CloudFlare a dû fermer pendant près d'une heure, rendant indisponibles près de 785 000 sites dont le site de divulgation de documents Wikileaks et le forum 4chan. L'éditeur invoque un problème au niveau de ses routeurs, qui auraient été mis hors d'usage.
Rappelons qu’ un « Content Delivery Network » (CDN) est constitué d’ordinateurs reliés en réseau à travers Internet et qui coopèrent afin de mettre à disposition du contenu ou des données (généralement du contenu multimédia volumineux) à des utilisateurs.
Avec le service CDN, les contenus sont envoyés par des serveurs de proximités rendant une lecture plus fluide et évite des saturations de serveur
En d'autres termes, un CDN est destiné à délivrer du contenu statique de manière optimisée à des utilisateurs : par rapport à un site, le CDN prend le relais pour délivrer les contenus statiques à ses visiteurs; ce n'est donc plus le serveur qui supportera cette charge.
Pour aller plus loin : on lira l’article particulièrement clair publié par Vincent Maurin en charge du domaine Sécurité au sein de la Direction du Développement des Produits et des Services au sein d'Orange Business Services
http://www.orange-business.com/fr/blogs/securite
Voir par ailleurs :
Définition d'un serveur HTTP: http://fr.wikipedia.org/wiki/Serveur_HTTP
Définition d'un réseau CDN : http://fr.wikipedia.org/wiki/Content_Delivery_Network
Définition d'une attaque DDoS : http://fr.wikipedia.org/wiki/Ddos
Ainsi, censé répartir la charge, le service de diffusion de contenus CloudFlare se place entre les internautes et le site web. Toute requête HTTP destinée à ce site passe d'abord par les serveurs CloudFlare qui l'analysent et éventuellement la bloquent.
Le service assuré par CloudFlare est large mais aussi gratuit. Aussi un quart des internautes passent sans le savoir par CloudFlare (Korben, PC-Inpact, Zataz...).
Si CloudFlare s'écroule ce sont des centaines de milliers de sites qui peuvent devenir tout à coup inaccessibles. Le risque local et isolé qu'un site s'écroule est remplacé par un risque global, CloudFlare devenant d’ailleurs une cible de plus en plus intéressante à mesure qu'elle grossit. C’est le risque de la centralisation et des « convoitises » qu’elle est susceptible de susciter par ailleurs !
Donc Cloudflare, comme les autres CDN, s'intercale entre le site Web et le reste d'Internet, pour le dupliquer dans des centres de données répartis dans le monde. Le site est ainsi disponible au plus proche des internautes, tout en économisant sur la consommation de bande passante. Quand ce maillon faible est tombé, ces sites ont perdu leur principale connexion au reste d'Internet. La charge habituellement gérée par Cloudflare a été reportée directement sur les sites, certains étant devenus inaccessibles car surchargés.
Défaillance technique ? Malveillance ?
La dépendance des sites Internet à certains fournisseurs de services est à nouveau posée.
Dans un communiqué Cloudflare explique que « l'ensemble de ses services a été mis hors ligne par une défaillance des routeurs en bordure du réseau ». Cela signifie le matériel chargé de gérer la connexion entre le réseau Cloudflare et le reste d'Internet est tombé. Normalement quand un routeur est en panne, les autres prennent automatiquement en charge le trafic qu'il était censé géré.
Dans ce cas précis, tous ont été mis hors d'usage en même temps :
Ainsi le service a détecté une attaque par déni de service (multiplication des connexions pour saturer et mettre hors ligne un site) sur l'un de ses clients. Un responsable de la sécurité a commandé aux routeurs en question de bloquer tous les paquets correspondant à la taille, inhabituelle, utilisée pour attaquer le site. Cette règle spécifique a causé, pour une raison encore inconnue, un remplissage complet de la mémoire des routeurs, jusqu'à leur arrêt. La plupart des routeurs n'ont, par ailleurs, pas redémarré automatiquement, comme ils auraient dû le faire. Les autres sont rapidement retombés en panne, sous le poids des requêtes à gérer.
Cela ressemble un peu à la fois (tous éléments de comparaison gardés) à un réseau de distribution d’électricité HT qui « s’écroule peu à peu comme un jeu de carte » ou à des groupes électrogènes censés prendre le relai d’une alimentation défaillante et qui ne démarrent pas ! On a pu mesurer dans le passé les conséquences dramatiques que cela pouvait entrainer en particulier lorsque il s’agit par exemple d’ hôpitaux ! Nous en sommes pas là….mais !
Au bout d'une heure, le trafic a pu reprendre son cours normal.
Cloudflare indique qu'il continue à examiner en détails les motifs qui ont causé cette panne. Il a par ailleurs précise que certains routeurs Juniper en bordure du réseau ont connu une défaillance majeure. La plupart d'entre eux n'ont pas redémarré de manière automatique alors que les autres croulaient sous le nombre de requêtes. Enquête en cours…
On notera que l'entreprise se targue de proposer à bas prix les capacités de CDN et d'outils de protection contre les attaques services qui sont habituellement proposés habituellement à des prix bien plus élevés. Par ailleurs, le service a déjà été sujet à des pannes importantes :"En quatre ans d'activité, il s'agit de notre troisième panne d'envergure » a reconnu la Direction. Un peu inquiétant !
Les bas prix au détriment de la qualité ?
Voir nos News :
Evernote se dit attaqué par des pirates - 03/03/2013
Sécurité informatique : Les mots de passes vandalisées. Des négligences à éviter ; des précautions à prendre. - 02/03/2013
Facebook infecté, Apple infecté, maintenant au tour de Microsoft! - 23/02/2013
Apple toujours aussi insensible aux virus et aux logiciels malveillants ? - 21/02/2013
Google met en garde contre l'augmentation des tentatives de détournements de compte - 19/02/2013
Voir nos Artricles :
Le Wi-Fi en entreprise. Sécuriser ses données - 10/02/2013
Cyber attaques via les mobiles - 02/02/2013
Voir nos Astuces :
Publicité sur Internet : Comment ne plus être « espionné - 01/03/2013
La sécurité et vous - 12/09/2012
Compte mail piraté? que faire ? - 11/09/2012