Qu’est-ce que le BGP et comment sa défaillance a-t-elle mis Facebook hors ligne ?
Table des matières :
Le 4 octobre 2021, Facebook – et tous les principaux services que possède Facebook – ont subi une panne d’environ six heures. Le « blackout » des réseaux sociaux a commencé à 11h40, heure de l’Est (ET), juste après que les enregistrements du système de noms de domaine (DNS) de Facebook soient devenus indisponibles.
L’incident analyse de Cloudflare détaille que les noms DNS de Facebook ont simplement arrêté de se résoudre, et les adresses IP de l’infrastructure du géant des réseaux sociaux sont devenues inaccessibles. Cependant, les problèmes de DNS semblent être seulement une conséquence mais pas la cause principale du problème. La défaillance initiale s’est produite dans le routage Border Gateway Protocol (BGP) des ressources web de Facebook.
Qu’est-ce que le BGP ?
Le Border Gateway Protocol (BGP) est un mécanisme standardisé qui alimente l’échange d’informations de routage entre les systèmes autonomes (AS) sur Internet. Comme les réseaux distincts doivent s’apparier les uns aux autres pour former un réseau mondial, ils promeuvent sa présence en communiquant les informations de routage. Ces données sont ensuite stockées dans une base d’informations de routage (RIB).
La RIB agit comme une immense carte en constante mise à jour qui existe pour tracer le chemin à travers une variété de destinations. Le BGP peut accéder à la base de données RIB, répertoriant chaque route possible pour livrer les données et choisissant la plus efficace. En cas d’échec du BGP, un réseau (Facebook dans ce cas) ne peut pas annoncer sa présence, donc, d’autres réseaux ne peuvent plus le joindre. En conséquence, le réseau affecté semble être coupé d’Internet.
Pourquoi Facebook était en panne
Selon le article de blog explicatif de Facebook, le problème est survenu après un changement de configuration majeur. Il a affecté le système qui gère la capacité du réseau de base global de Facebook, responsable de la liaison entre tous les centres de données du fournisseur. En outre, ce changement de configuration a entraîné le retrait des routes de Facebook et la mise hors ligne des serveurs du géant des réseaux sociaux.
Avec ces changements de configuration et retraits de routes, Facebook s’est littéralement coupé d’Internet, ainsi que ses services populaires Instagram, WhatsApp et Oculus VR. En plus de disparaître d’Internet, Facebook a laissé ses employés sans la capacité d’accéder aux bâtiments de bureaux puisque les cartes d’accès intelligentes ont également été affectées par la panne. De plus, la plateforme de flux de travail interne de Facebook, Workplace, a également été bloquée, laissant les employés incapables de traiter les tâches quotidiennes.
Comme le problème semble survenir en raison de la mise à jour de configuration incorrecte par les ingénieurs réseau de Facebook, la solution est également venue de techniciens qui ont accédé aux routeurs localement pour résoudre les problèmes. Six heures après le début de la panne, les ressources de Facebook ont été restaurées, et les utilisateurs déconcertés ont pu accéder à leurs comptes de réseaux sociaux. Au 8 octobre 2021, les systèmes de Facebook fonctionnent pleinement.
Détecter les défaillances du BGP
Compte tenu du fait que même de légers problèmes de routage BGP peuvent causer des problèmes majeurs au sein de votre infrastructure, il est important de suivre tout changement relatif à sa configuration. Pour surveiller les pannes et défaillances du BGP, Massimo Candela, un ingénieur logiciel senior chez NTT Global Networks, a développé un outil dédié appelé BGPalerter. C’est un outil auto-configurant qui effectue l’analyse des flux de données BGP issus de diverses sources à la volée. Il permet la détection en temps réel de la perte de visibilité, des annonces invalides RPKI, des détournements et plus encore.
Pour rendre le suivi des pannes BGP encore plus facile, l’équipe de SOC Prime a publié une règle Sigma qui détecte les événements élevés et critiques générés par BGPalerter. La règle est disponible en téléchargement gratuit depuis la plateforme SOC Prime sur inscription.
Changements BGP suspects (via l’outil BGPalerter)
La détection a des traductions pour les plateformes SIEM SECURITY ANALYTICS suivantes : Azure Sentinel, ELK Stack, Chronicle Security, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB.
La règle est mappée à la méthodologie MITRE ATT&CK abordant les tactiques d’impact et la technique de déni de service réseau (t1498).
Inscrivez-vous sur la plateforme SOC Prime pour faciliter, accélérer et simplifier la détection des menaces. Chassez instantanément les dernières menaces parmi plus de 20 technologies SIEM & XDR supportées, automatisez l’enquête sur les menaces, et obtenez des retours et des validations de la part d’une communauté de plus de 20 000 professionnels de la sécurité pour améliorer vos opérations de sécurité. Désireux de créer votre propre contenu de détection ? Rejoignez notre programme Threat Bounty, partagez vos règles Sigma et Yara dans le référentiel du Threat Detection Marketplace, et obtenez des récompenses récurrentes pour votre contribution individuelle ! Enthousiaste pour améliorer vos compétences en chasse aux menaces ? Découvrez ce que sont les règles Sigma et comment commencer à en créer avec notre guide pour débutants.
