Le bug a été découvert vendredi dernier lorsque le RIPE NCC (Réseaux IP Européens - Network Coordination Center) et des chercheurs de la Duke University ont commencé à distribuer des données expérimentales selon le protocole BGP (Border Gateway Protocol) via les systèmes du RIPE NCC, rendant en quelques minutes un grand nombre de routeurs Internet inaccessibles, avant de mettre rapidement fin à l'expérience.
Le Border Gateway Protocol est utilisé par les routeurs pour trouver le meilleur moyen de faire circuler l'information de l'un à l'autre sur Internet. Parce qu'il est très facile pour de mauvaises données BGP de se propager rapidement, les experts en sécurité ont prévenu qu'un jour un usage détourné de ce protocole pourrait perturber gravement l'Internet. Il s'est avéré que les routeurs tournant sous le système d'exploitation IOS XR de Cisco ont chargé les données expérimentales - dont le poids est beaucoup plus important que dans le cas du routage BGP habituel - les ont corrompu, puis ont envoyé cette information erronée vers d'autres routeurs, dont la plupart ont tout simplement fermé toute connexion avec les routeurs Cisco à l'origine du bug, mettant une partie de l'Internet hors d'accès.
Une expérimentation maladroite
Dans un avis de sécurité publié quelques heures après l'incident, Cisco a confirmé que la panne de vendredi avait dévoilé le bug. «L'envoi d'un attribut BGP inconnu, mais valide a donné lieu à la réinitialisation de plusieurs BGP semblables le 27 août 2010. Cet évènement n'était pas malveillant, mais a révélé par inadvertance la vulnérabilité," a déclaré Cisco dans son communiqué. Le système d'exploitation IOS XR de Cisco est prévu pour s'exécuter sur des routeurs de classe CRS-1, utilisé par les grandes entreprises de télécommunications. Contacté par mail vendredi, Yang Xiaowei, professeur adjoint à la Duke University, a refusé de donner des détails sur son expérience, mais elle a précisé que toutes les données envoyées par son équipe étaient "100 % conformes."
Selon Earl Zmijewski, directeur général de Renesys, "l'expérience a rendu l'accès à certains réseaux difficile dans plus de 60 pays. Sur les 333 000 préfixes que compte l'Internet, selon le décompte établi par le site CIDR-report.org, "plus de 3.500 "préfixes", ou blocs d'adresse IP, ont été touchés," a-t-il estimé sur son blog. Au total, les perturbations de vendredi ont duré moins d'une demi-heure. Dans une interview Earl Zmijewski a estimé que, du fait que le logiciel de Cisco posait problème, l'équipe de Duke qui a mené l'expérience aurait dû être plus prudente. "L'époque où les universitaires pouvaient jouer avec un réseau actif est révolue," a-t-il déclaré. "Je pense qu'il serait imprudent de retenter une expérience équivalente dans le futur. ... Je suis même étonné qu'elle ait pu être réalisée."
Des expériences mieux cadrés dorénavant
Les représentants du RIPE NCC n'ont pas souhaité faire de commentaires, mais dans une note publiée dimanche, l'organisation a déclaré que l'expérience visait à «une compréhension globale et approfondie des aspects spécifiques du routage sur Internet." Poursuivant que "dans l'avenir, le RIPE NCC sera plus strict sur la manière dont il mène de telles expériences et informera à l'avance les opérateurs Internet." Cisco n'a pas souhaité faire d'autres commentaires que ceux publiés dans son avis de sécurité.
Illustration: Routeur Cisco Nexus de classe CRS-1, crédit D.R.