Orange : pourquoi une « erreur humaine » paraît peu vraisemblable
Mise à jour : selon un mail interne d'Orange publié par Mac Génération, une erreur aurait été commise lors de l'ajout du domaine equals.cineday.orange.fr sur la zone Orange.fr du serveur DNS de l'opérateur.
--
Lundi matin, les clients Orange qui utilisaient leur accès à Internet fixe ou mobile étaient redirigés vers la page du ministère de l'Intérieur dédiée aux sites bloqués pour apologie du terrorisme, lorsqu'ils tentaient d'accéder à Google, Wikipédia ou OVH. Pour expliquer une telle bévue, inédite, Orange a rapidement fait savoir dans sa communication officielle qu'il s'agissait d'une « erreur humaine ».
« Suite à une erreur humaine lors d’une opération technique sur un serveur, nos clients ont pu rencontrer des difficultés à se connecter au site google.fr et wikipedia.fr et se voir reroutés vers un message du ministère de l’intérieur. L’incident a duré environ 1h et l’accès aux sites est en voie de rétablissement », pouvait-on ainsi lire sur les pages d'aide de l'opérateur. Le service presse d'Orange livre la même explication.
Pourtant selon nos informations, l'explication officielle suscite pour le moins l'interrogation au sein-même des équipes d'Orange. L'opérateur, qui a immédiatement créé une cellule de crise lundi matin, a bien envisagé l'hypothèse d'un piratage externe ou d'un acte volontaire de malveillance. Car « Il est impossible de faire une telle erreur, ou alors il faut être très bête et endormi », s'étonne auprès de Numerama un bon connaisseur des infrastructures techniques chez Orange. « Officiellement c'est une erreur humaine, mais nous faisons face à un blocage complet pour avoir plus d'informations ».
https://twitter.com/pbeyssac/status/787954035554914304
Pourquoi c'est peu crédible
Lorsque le ministère de l'Intérieur envoie la liste des sites à bloquer aux principaux opérateurs télécoms français, il le fait sous la forme d'un fichier CSV qui comprend quatre colonnes. La première est une référence de dossier, la deuxième est le nom de domaine et les deux suivantes sont les adresses IP vers lesquelles diriger les utilisateurs, selon que le site est bloqué pour apologie du terrorisme, pédopornographie, jeux d'argent illicites ou d'autres motifs.
L'opérateur télécoms qui traite le fichier du ministère doit donc prendre chacun des noms de domaine qui figure dans la colonne centrale et modifier l'enregistrement DNS dans ses serveurs pour que celui-ci pointe vers l'adresse IP figurant sur la colonne C. Il n'y a aucune place au hasard ni, a priori, à l'erreur. Si le traitement est automatique, un script détecte les nouvelles entrées et modifie les DNS du nom de domaine de la colonne B avec l'adresse IP indiquée.
Ce matin, c'est l'adresse IP 90.85.16.52 vers laquelle ont été redirigés les domaines Google.fr, fr.wikipedia.org et OVH.com. Cette adresse 90.85.16.52 héberge le serveur du ministère de l'Intérieur qui affiche les raisons du blocage — en l'espèce l'apologie du terrorisme — et enregistre les adresses IP de ses visiteurs, officiellement à des fins purement statistiques.
Cette adresse IP n'est pas une adresse IP générique pour tous les blocages opérés par Orange mais bien une adresse spécifique renseignée par le ministère de l'Intérieur.
https://twitter.com/lesExegetes/status/787952922386636801
Pour toucher ces trois noms de domaine, il faudrait donc que « l'erreur humaine » ait consisté à aller par inadvertance modifier les enregistrements de ces trois domaines et de ces trois domaines seulement pour imposer qu'ils pointent désormais vers une adresse spécifique, 90.85.16.52. Or personne ne voit par quels concours de circonstances une telle erreur est possible.
Un piratage ?
L'hypothèse la plus vraisemblable, démentie par Orange, est donc qu'il s'agisse davantage d'un acte de malveillance réalisé par un employé de l'opérateur ou avec plus de difficultés par une personne externe. De sources internes, les services Orange auraient simplement inséré le fichier CSV fourni dans leurs systèmes, sans aucune modification, ce qui laisserait entendre une erreur ou une malveillance étant intervenue plutôt du côté du gouvernement.
On peut imaginer que quelqu'un ait voulu dénoncer le caractère arbitraire des blocages décidés par le seul ministère de l'Intérieur ou plus simplement « troller » le gouvernement français ou les trois organisations en questions.
Les trois noms de domaine choisis assuraient une couverture médiatique évidente à l'opération, puisqu'au moins Google et Wikipédia sont des sites devenus quasiment indispensables aux internautes qui les visitent plusieurs fois par jour. Il s'agit de trois noms de domaine extrêmement populaires en France, soit directement soit pas le biais de redirections discrètes vers des sous-domaines OVH.com.
Il n'y a toutefois à notre connaissance aucune revendication d'un acte de piratage. Et si l'on modifie Wikipédia, Google et OVH, pourquoi ne pas modifier les enregistrements d'autres sites tout aussi importants ou symboliques comme Facebook.com, Twitter.com, LeMonde.fr, Gouvernement.fr, Orange.fr, etc. ? S'il s'agit d'un piratage ou d'un acte malveillant, son périmètre est étonnant.
Il est probable, malheureusement, que le mystère demeure encore longtemps…
https://twitter.com/AdrienneCharmet/status/787940345803923458
(Article mis à jour avec des explications complémentaires de sources internes à Orange)