Ce vendredi vers 10 heures, de nombreux sites d'information français sont devenus d'un coup inaccessibles : Mediapart, Slate, Le Parisien, L'Express, 20 Minutes, Marianne, mais aussi plusieurs sites de Radio France ainsi que des sites commerciaux (le groupe Accor, ou encore Thalys). Tous sont hébergés par la même société parisienne, Oxalide.

Dans le contexte actuel de cyberattaques menées par des pirates informatiques anti-Charlie Hebdo, l'hypothèse d'un lien avec l'«#OpFrance» (pour «Opération France»), qui vise depuis plusieurs jours des sites web français, s'est répandue comme une traînée de poudre sur Twitter, et a même rapidement donné lieu à des détournements :

Sauf que sur Internet, les choses sont généralement plus compliquées qu'elles n'en ont l'air. Sur le moment, difficile de savoir ce qui se passait précisément : l'hébergeur, injoignable par téléphone (on le comprend), communiquait sur Twitter au compte-gouttes. Mais dès 11 heures, les sites de Mediapart et de 20 Minutes faisaient leur réapparition.

A 12h21, Oxalide annonçait que le service était «revenu à plus de 90%». Mais «la source des dysfonctionnements» restait encore inconnue.

La possibilité d'une attaque par déni de service dite «volumétrique» – la plus connue, celle qui consiste à saturer un serveur par l'afflux de connexions – n'était, dès le départ, pas la plus probable. Oxalide a en effet recours aux prestations de CloudFlare, un service de diffusion de contenus qui améliore les performances des sites et protège précisément contre ce type d'attaque. Par ailleurs, aucune revendication n'avait été repérée.

Juste avant 13 heures, l'hébergeur lui-même a confirmé que le problème rencontré était d'un autre ordre :

Concrètement, explique l'ingénieur réseaux Stéphane Bortzmeyer, «Oxalide a cessé ce matin d'envoyer des annonces de route BGP [Border Gateway Protocol, un des protocoles utilisés sur Internet], qui sont les annonces qui disent à l'Internet : je suis là, et pour accéder à telle adresse IP, passez par cette route.» La panne proprement dite a apparemment commencé un peu avant 9 heures, pour se terminer vers 10h30.

A partir de cet élément technique, il identifiait trois scénarios :

1/ Une attaque contre le protocole BGP lui-même. C'est effectivement possible, mais beaucoup plus complexe que toutes les attaques observées jusque-là de la part des pirates informatiques «anti-Charlie», qui consistaient, la plupart du temps, à exploiter les failles de sécurité connues de systèmes de gestion de contenu (type WordPress) pas mis à jour. On aurait, dans ce cas, été face à des attaquants nettement plus sophistiqués.

2/ Une panne matérielle (ça arrive).

3/ Une erreur de configuration. Comme le rappelle Stéphane Bortzmeyer, «les erreurs humaines sont toujours possibles, et arrivent beaucoup plus souvent qu'on ne le pense».

Contacté par Libération en début d'après-midi, l'hébergeur annonçait qu'il transmettrait plus d'éléments dans la journée. A 20h40, il diffusait finalement via Twitter un communiqué indiquant que «l'incident est toujours en cours d'étude par [ses] équipes, afin de [lui] permettre d'établir un diagnostic approfondi et de fournir à [ses] clients une information détaillée».

Finalement, le dimanche soir un peu avant 21 heures, Oxalide publiait une nouvelle mise à jour, confirmant «une panne sur le cœur de réseau sur l'ensemble de [ses] trois centres de données» et écartant «définitivement l'hypothèse d'une attaque, de quelque nature que ce soit». «Ca arrive», donc – y compris au plus mauvais moment.