Le trafic des applications Google Cloud routé vers la Chine et la Russie

Le trafic des applications Google Cloud routé vers la Chine et la Russie

Lundi 12 novembre, les utilisateurs américains d’applications hébergées par Google Cloud se sont retrouvés dans l’impossibilité de s’y connecter.

Cet incident est la conséquence d’un détournement du trafic réseau via BGP (Border Gateway Protocol) à destination de Google Cloud vers la Chine et la Russie. Le protocole BGP est une technologie utilisée pour déterminer la route optimale entre différents réseaux dits autonomes (« Autonomous System », « AS »). C’est par exemple ce protocole qui permet le choix d’une route efficace pour les échanges de données entre les réseaux des différents fournisseurs d’accès à Internet.

Ces attaques, de plus en plus fréquentes (voir ici et ) permettent aux pirates d’intercepter, altérer et bloquer le trafic. Dans le cas de l’attaque de lundi, les paquets n’étaient pas redirigés vers leur destination, provoquant ainsi un déni de service pendant toute la durée de l’attaque, soit de 13h12 à 14h35 PST. De nombreuses entreprises ont été impactées, notamment Snapchat, Spotify et Nest.

Le fait de ne pas avoir redirigé le trafic mitige l’impact de l’attaque, étant donné que l’impossibilité d’établir les connexions TCP a supposément réduit l’envoi de données vers les services concernés.
Le trafic était spécifiquement routé vers deux passerelles: l’une chez China Telecom, l’autre chez l’opérateur russe TransTelekom. L’implication de la Chine n’est pas surprenante, le pays ayant récemment été pointé du doigt pour des pratiques similaires.

De telles attaques sont très faciles à organiser pour un fournisseur d’accès à Internet ou un gouvernement l’y contraignant. Bien que l’origine de l’incident soit localisée au Niger chez une société gérant un câble sous-marin, l’implication des gouvernements russe et chinois n’est pas écartée.

 

 


Référence

Photo par TechWeez.com


Jean-Christophe Pellat

Analyste CERT-XMCO