Les coulisses n°2

calendar Sat 2024-11-30 · 10 mins de lecture · Réseaux Informatique  ·
Partager sur: linkedin copy
Les coulisses

Bienvenue dans ce deuxième épisode des coulisses, là où on parle de ce qu'il s'est passé du côté des opérateurs réseaux dans les dernières semaines.

Les joies de la montagne arrivent

L'hiver est une période rude pour les réseaux, encore plus en montagne. Dès que la neige recouvre de plusieurs mètres les bords de route, c'est compliqué d'y déployer quoi que ce soit. Aller rechercher sous 1 mètre de neige des chambres télécoms n'est jamais chose aisée. Breef, il n’empêche que les réseaux en montagne, et notamment de fourreaux pour rejoindre les stations en altitude sont souvent inexistants. Il faut donc se débrouiller pour pouvoir rejoindre les stations. et oui, personne n'a envie de mettre la main à la poche pour déployer 15km de génie civil entre un fond de vallée et une station de haute altitude, sur un terrain escarpé, avec des routes inutilisables par des engins de chantiers, et essayer de poser des fourreaux dans de la bonne roche de montagne. La technique? Connaître les exploitants des remontées mécaniques pour se servir des réseaux de fibre le long de ces dernières. Toujours mieux que de faire un pont radio. La montagne est un univers différent dans le monde des infrastructures. On y retrouve par exemple littéralement des miroirs qui servent a refléter les ondes de liens radios directionnels pour les faire passer une crête. On est obligé d'y installer des pylônes par hélicoptère faute de pouvoir les acheminer par la route, on pert des fourreaux stratégiques lors d'éboulements, comme celui ayant détruit la voie de chemin de fer de la Mauriene. D'ailleurs pour ce chantiers ils ont du littéralement créer des routes, et acheminer des tonnes de ciment par hélicoptère.

Allez, espérons que l'hiver ne soit pas trop rude avec nous, et continuons d'apprécier la montagne. Mais les montagnards le savent, les infrastructures là bas sont toujours fragiles. Il suffit d'y constater les coupures d'électricité.

Les 1 et les 0 ne marchent pas sans électricité

Et oui on oublie la dépendance des réseaux informatiques à une stabilité du réseau électrique. Pourtant tout deux ont des contraintes différentes. En effet, impossible de faire fonctionner des routeurs sans électricité. Et cette dernière à la foutue idée d'être très difficilement stockable. On produit en temps réel ce que l'on consomme, à l'exception des rares moyens de stockages que ce soit les STEP, ou les volant à inertie qui stabilisent les demandes.

Bref, c'est ce que rappelle ce mois çi l'internet society dans leur article intitulé "No Power = No 1s and 0s. Internet Resilience Requires Electrical Resilience. Et oui, en Europe nous sommes habitués a vivre dans des sociétés avec l’électricité en permanence, et c'est une bonne chose de ne pas avoir a penser à cette infrastructure dans la vie de tout les jours. Cependant ce papier rappelle que des coupures arrivent partout, y compris en Guadeloupe a la suite d'une grève. Grève complètement justifiée comme toujours. L'article rappelle que ces derniers mois c'est des pays entiers qui ont subi des coupures involontaires. Comme dit précédemment, un réseau électrique est une prouesse technique demandant de stabiliser la production avec la demande. Et le réchauffement climatique passe par là avec des événements climatiques graves qui impactent fortement la stabilité du réseau, que ce soit avec des inondations ou des tornades.

Seulement voilà, pour citer l'article:

If we want to keep the internet on, we must keep the power on.

Et ils ont par là tout à fait raison. Ce n'est pas pour rien que les groupes électrogène des datacenters sont régulièrement mis à l'épreuve. Ce qui est plus "triste" c'est qu'il le sont souvent plus régulièrement que ceux des hôpitaux qui en disposent aussi puisque si on veux maintenir nos hôpitaux fonctionnels, il faut la aussi de l'électricité. On ne peut pas se permettre de perdre des vies pour ça. C'est d'ailleurs pour ça que les personnes sous respiration assistée pouvaient formuler une signalisation l'année dernière pour qu'en cas de dépassement des capacités de production, leur sous-station et donc leur électricité ne soit pas coupée, mesure d'urgence quand on veux stabiliser un réseau électrique a production limitée. Surtout, un réseau électrique peut s’effondrer, et là c'est des heures de coupures nationales qu'il faut compenser. Je vous conseille d'ailleurs ces deux videos de Mr bidouille qui en parle, ça se passe là :

Les datacenters eux-même ont des contrats de délestage en tant que grand consommateur. Certaines grosses boites dans des pays où le réseau est déjà sous investi et est dans un état critique: les états-unis à titre d'exemple, investissent elles mêmes dans des moyens de produire de l'électricité du coup. Triste de voir les intérêts individuels d'entreprises primer sur des infrastructures devant bénéficier à tout le monde comme bien commun. Rappelons d'ailleurs à toute fin utile que l'électricité n'est pas une source d’énergie, comme le gaz, mais un vecteur de transport de cette dernière.

Les 1 et les 0 sont soumis à la (géo)politique

Bref, ce n'est pourtant pas là la seule raison pour laquelle internet peut être coupé. On voit de plus en plus de régimes politiques le couper car il est ce qui nous permet, citoyens, de "faire société". Que ce soit par email, téléphone, par what's app, signal, telegram ou SMS, c'est comme ça qu'on appelle nos proches, qu'on planifie nos rendez-vous, qu'on se dit qu'on va aller pique-niquer, ou aller en manifestations. Les blocages sont plus ou moins effectifs. de l'utilisations de DNS menteurs qui poussent par exemples des militants turcs à tagger sur les murs 8.8.8.8, le résolveur public de google. On connais d'ailleurs bien aujourd'hui le role d'internet dans les révolutions arabes, d'où une volonté de régimes autoritaires d’empêcher l'accès a internet de leurs citoyens. Et c'est d'autant plus simple lorsque ces derniers possèdent un monopole d'état sur les communications. La France les aide d'ailleurs à ça grace à notre "fleuron national" Thales.

Infographic: Where the Internet Has Been Restricted | Statista

De quoi offrir de l'argent aux demi-arnaques que sont les vendeurs de VPN. Il n’empêche que c'est bête à rappeler, mais pas d'électricité, pas d'internet. Et l’intermittence de fonctionnement n'est pas un mode fonctionnant bien pour la stabilité des réseaux informatiques comme internet qui est résilient a l'échelle mondiale, mais fragile à l'échelle locale. Parfois même toute la connectivité d'un pays passe par une seule landing-zone de câbles sous marins, un seul lien des réseaux du pays au reste du globe. Je vous laisse sur cette carte non exhaustive qui montre encore plus l'importance géopolitique de la mer cocasserouge. La mer baltique également, c'est ce que propose de voir cet article du ripelabs de l'impact des coupures du nord de l'Europe, un autre endroit géopolitiquement très tendu dernièrement. Pour citer l'article, ces coupures là on eu peu d'impact, mais nous sommes bien incapable de définir quel seraient ces deniers si d'autres câbles en redondances se retrouveraient coupés.

M'enfin, parfois, même pas besoin de frontières physiques pour se retrouver bloqué face a des frontières virtuelles.

Les frontières virtuelle d'internet

Et oui, ce mois çi, encore une fois dans mon métier j'ai été confronté à la frontière virtuelle. Vous ne la connaissez pas? Et bien Internet, réseau mondial, en est pourtant à présent rempli, surtout sur son volet web (je ferai un articles sur distinguer web et internet) et les ayant droits sont les premiers à avoir poussé ça. Je vous ai bien parlé des VPN, et bien ils se vantent de vous permettre de vous géolocaliser ailleurs pour accéder à des contenus auxquels vous n'auriez pas le droit, et ils y arrivent. C'est bien qu'il y a des frontières.

Ces dernières années on a vu apparaître de plus en plus de blocages divers a travers le monde. Que ce soit les états-uniens, pour ne pas respecter le RGPD bloquent l'accès à leurs sites webs Et bien maintenant ce sont les médias qui font ça, et les diffuseurs. Et oui, une télévision veux permettre a ces citoyens d'accéder a leur chaîne, mais le problème c'est qu'internet n'est de base pas identifié. Ils utilisent alors des listes de blocages soit mis en place par des société qu'ils payent, des spécialiste ou leur hébergeur. Mais voilà il y a du sable dans l'engrenage. On est d'accord qu'un citoyen français, qui paye pour de l'audiovisuel public devrait accéder à son contenu? Quand il est hors du territoire national par exemple, ce n'est pas censé changer à son droit d'accéder aux médias? Pourtant essayez par vous même, vous serez bloqués. Petite note au passage, si vous avez une box free, vous pouvez avoir un vpn qui simulera que vous vous connectez depuis chez vous gratuitement pour vos déplacements.

Bref, ça c'est le cas simple. Maintenant il existe des blocages plus complexes qui bloquent arbitrairement des opérateurs entiers. Et travaillant pour un opérateur du marché entreprise, c'est le cas de nos IPs, dont la TV d'Orange a décidé que nous n'aurions pas le droit d'acceder à leur site, et ce d'ailleurs sans respecter la norme de renvoyer du détail avec le code HTTP 451 dans la réponse pour pouvoir contacter quelqu'un qu'on débloques nos ip. D'ailleurs le choix de 451 est une référence directe à une science fiction dystopique liée à la censure des oeuvres, un choix cocasse. Semblerait-il parce qu'ils ont décidés que les IP de notre réseau seraient des IP de serveurs. On se retrouve donc avec des clients finals 1 professionnels situés en France aux bout de leur FTTO qui peuvent pas accéder au service TV d'Orange. On est a un rien de leur proposer d'acheter un VPN qui lui aura accès.

Ca rappelle l'aspect sensationnaliste de l'article de FDN, le plus vieux FAI de France en activité, sur le blocage de leurs IP par une liste AWS; bloquant au passage Engie, YouTube et autres sites "classiques".

Contrairement à ce qu'ils racontent, ce n'est pas personne ne sais pourquoi. On le sait très bien, des gens veulent empêcher des serveurs d'acceder à leurs services. Le problème est que la qualification de blocs d'IP comme étant des clients finals ou des serveurs est... arbitraire. Donc la tv d'Orange bloquent les IP de nos clients, alors même qu'on est a la fois concurrents, clients, et fournisseurs d'Orange (vive les business croisés des télécoms), et AWS décident parce qu'il y a quelques serveurs notamment de nos-ognons derrière Gitoyen de qualifier toute la plage comme des ip d'anonymisation. Du coup des services en ligne décident de les empêcher d'acceder arbitrairement.

Le royaume de l'arbitraire est pourtant l'ennemi de nos démocraties. C'est pas pour rien qu'il y a séparation des pouvoirs, notamment de celui de la justice, et de l'indépendance et impartialité des magistrats du siège. Quand le juge est lui même acteur, comme YouTube qui démonétise des videos de manière absurdes pour des droits d'auteurs, alors on sort de ce cadre. Quand on décide de bloquer arbitrairement des services web à des IP, alors qu'il s'agit de services ouverts au public, on aura toujours une part anormale d'arbitraire pour laquelle il est nécessaire d'avoir des mécanismes de réponse. Maintenant allez essayer de faire débloquer des IP à Orange ou a AWS, sans même avoir d'interlocuteurs pour en discuter...

Mais pas besoin d'interlocuteurs pour créer un incident...

OVH et Worldstream, une histoire de peering

Je voulais vous parler rapidement d'un incident que peu de gens ont vu passer, mais qui a eu lieu le 30 octobre dernier en début d'après midi. En effet, Worldstream ont créé un route-leak avec OVH. Cloudflare en a comme d'habitude fait un très bon article, que je recommande. Pour résumer pour les non initiés, Worldstream se sont mis à dire à OVH que la totalité d'internet, c'était eux la destination. Et il n'y avait pas de mécanisme de sécurité qu'il y aurait du y avoir chez OVH sur cette session d'échange de routes. Résultat, le traffic d'OVH, dont le volume est énorme, s'est retrouvé poussé à destination de Worldstream, qui ont pas du aimer ce qu'ils ont reçu niveau volume... et pendant ce temps là les paquets ont voyagé du mauvais côté. Imaginez un agent d'autoroute qui remplace une sortie d'autoroute à tout hazard vers la ville de Vatan par un grand panneau "toutes directions". On est a peu près dans le même ordre d'idée même si on doit très vite arrêter là la comparaison. Je vous détaillerai pourquoi les réseaux routiers et informatiques n'ont aucun rapport, et pourquoi il faut arrêter de les comparer à tout va. Malheureusement le terme "autoroutes de l'informations" est bien ancré dans les mémoires.

  1. Oui en télécoms, la terminaison plurielle est le pluriel d'ancienne forme en als. C'est celle que l'on retrouve partout dans les utilisations juridiques, notamment dans les décisions de l'ARCEP, ce n'est pas une faute. ↩︎

Articles dans cette série