Un problème dans une seule entreprise peut-il provoquer un problème Internet à l’échelle mondiale mettant hors ligne les sites Web du New York Times, de la BBC, de Hulu, du gouvernement britannique, de PayPal et de nombreuses autres organisations ? Malheureusement, la réponse est oui, comme en témoigne la panne d’environ une heure qui s’est produite le matin (aux États-Unis) du 8 juin. La cause était ce que Fastly, un réseau de diffusion de contenu (CDN), appelé «configuration des services” que l’entreprise a rapidement désactivé une fois que son rôle dans la prévention du chargement des sites Web est devenu clair.
Bien que la panne ait été rapidement corrigée, le fait qu’elle se soit produite souligne à quel point Internet n’est pas aussi distribué que nous avons tendance à le penser. Il peut y avoir des milliards d’internautes et encore plus d’appareils connectés à Internet qu’il n’y a d’utilisateurs, mais un nombre étonnamment petit d’entreprises sont responsables de l’exploitation de la plomberie en coulisse. Comme l’a expliqué le PDG de Cloudflare, Matthew Prince dans un article de 2017, l’infrastructure d’Internet comprend des services d’hébergement (où le contenu des sites Web est stocké), des entreprises qui garantissent qu’un utilisateur qui tape une adresse Web telle que « nytimes.com » dans un navigateur est dirigé vers le bon endroit, les CDN et les entreprises qui déplacent rapidement de grandes quantités de données à travers les villes, les pays et les océans.
Bien que Fastly et la plupart des autres sociétés d’infrastructure Internet ne soient pas connues, elles jouent un rôle essentiel dans le fonctionnement d’Internet. Par exemple, les CDN fonctionnent en plaçant un réseau de serveurs sur une vaste zone géographique, rapprochant ces serveurs des internautes. Une société de streaming vidéo qui a essayé de diffuser son contenu en utilisant un seul ensemble de serveurs situés dans le nord-est des États-Unis pourrait constater que ses utilisateurs de la côte ouest subissent plus de problèmes et de retards que ceux du nord-est. Les performances pourraient être encore pires pour les utilisateurs situés à l’étranger. Pour éviter cela, la société de streaming pourrait passer un contrat avec un CDN pour répliquer son contenu sur des dizaines de serveurs à travers le monde. En conséquence, les utilisateurs de Tokyo, Lagos et Paris pouvaient tous diffuser du contenu à partir d’un serveur à proximité, plutôt que d’un serveur situé à des milliers de kilomètres.
Lorsque tout fonctionne bien, nous ne pensons généralement pas plus à l’infrastructure Internet qu’aux systèmes de production et de livraison d’électricité lorsque nous allumons une lumière. Mais comme l’a illustré la panne du 8 juin, les problèmes provenant d’une seule entreprise d’infrastructure peuvent avoir des conséquences mondiales immédiates.
Ceci est d’autant plus important qu’au cours des deux dernières décennies, Internet est devenu une forme de plus en plus fondamentale d’infrastructure critique. Le gouvernement américain désigne actuellement 16 secteurs d’infrastructures critiques, notamment les communications, la fabrication critique, les services d’urgence, l’énergie, les services financiers, l’alimentation et l’agriculture, les installations gouvernementales, les soins de santé, les technologies de l’information et les transports. Internet n’est pas son propre secteur, et pour cause : alors que deux des secteurs désignés par le gouvernement, les communications et les technologies de l’information, se combinent pour jouer un rôle central dans fournir Internet, aucun des secteurs ne peut fonctionner efficacement aujourd’hui sans pour autant l’Internet.
C’est là que réside un autre défi lorsque l’on tente d’identifier et d’atténuer les vulnérabilités de l’infrastructure Internet : il est difficile d’évaluer pleinement un lien faible potentiel sans connaître toutes les conséquences qui pourraient survenir si ce lien venait à échouer. Et étant donné l’extraordinaire complexité et l’interdépendance des systèmes actuels, les défaillances dans un domaine peuvent générer une cascade rapide d’impacts de grande envergure, dont tous ne sont pas faciles à prévoir.
Par coïncidence, le même jour que la panne de Fastly, le comité du Sénat américain sur la sécurité intérieure et les affaires gouvernementales a tenu une audience intitulée « Menaces contre les infrastructures critiques : examen de la cyberattaque du pipeline colonial ». Bien qu’il n’y ait aucune indication que l’incident Fastly était dû à une activité malveillante, la fragilité qu’il a démontrée est en soi une menace pour les infrastructures critiques. L’attention du Congrès aux vulnérabilités de l’infrastructure Internet lors des futures audiences pourrait fournir une occasion opportune et précieuse de sensibiliser à cette question sous-estimée.
Il y a aussi la question de ce qui peut être fait pour améliorer la robustesse de l’infrastructure Internet. Un objectif clairement bénéfique à long terme serait la diversification du nombre et des types d’entreprises fournissant des services d’infrastructure. Il y a une forte concentration du marché dans l’infrastructure Internet, ce qui suscite naturellement des questions sur les lois antitrust. Mais l’antitrust est un outil imparfait pour relever ce défi, car les niveaux de concentration du marché qui ne sont pas anticoncurrentiels peuvent toujours être une préoccupation majeure du point de vue de la robustesse.
Une étape importante à court terme consiste à mieux comprendre les vulnérabilités spécifiques de l’infrastructure Internet et comment celles-ci peuvent avoir un impact sur d’autres secteurs d’infrastructure critiques. Les décideurs politiques ont accordé une attention particulière ces dernières années aux parties les plus visibles de l’écosystème Internet, en particulier les sociétés de médias sociaux. Ils – et le gouvernement, les politiques et les milieux d’affaires en général – devraient également s’intéresser aux moyens de mieux garantir la sécurité des parties d’Internet que nous ne voyons pas normalement et qui jouent un rôle beaucoup plus fondamental dans le systèmes d’infrastructure sur lesquels nous comptons tous.
