Ecole à la maison : dans les coulisses de l’infrastructure du Cned

Qui est à blâmer pour le raté du redémarrage de « Ma classe à la maison » ? Sûrement pas OVHcloud, comme a pu l’insinuer le ministre Jean-Michel Blanquer. Des attaquants ? Peut-être. Mais le Cned lui-même, probablement.

Comme une voiture qui cale lorsque le feu passe au vert, le service « Ma classe à la maison » s’est retrouvé en rade ce mardi 6 avril au matin. Le ministère de l’Éducation nationale, Jean-Michel Blanquer, a rapidement dénoncé une cyberattaque contre le service du Cned, venue selon lui, « de l’étranger ». Et d’évoquer, « d’après les premiers éléments » dont il disait disposer, des difficultés rencontrées par un « opérateur privé qui a eu un incident à Strasbourg ». OVHcloud, donc ?

Que nenni, n’a pas manqué de rétorquer le PDG de l’hébergeur français, sur Twitter : « OVHcloud n’est pas responsable des dysfonctionnements de certains services d’éducation à distance. L’incendie de Strasbourg n’a aucun lien avec ces derniers. Des régions ENT affectées et des applications indisponibles ne sont pas hébergées chez OVHcloud ».

Une surprise ? Pas vraiment. La réputation d’OVHcloud en matière de capacité à encaisser les attaques en déni de service n’est plus à faire. En juillet 2019, Sébastien Mériot, responsable du CSIRT d’OVH, revendiquait, dans nos colonnes, un service de protection capable « d’une capacité de 7,2 Tb/s pour détecter et mitiger automatiquement les attaques en déni de service distribué ». Et d’indiquer en traiter en moyenne 2000 par jour, heureusement bien en deçà de ses capacités. Bien à la peine encore ce mercredi 7 avril, le site Web du Cned se porterait peut-être mieux s’il était hébergé chez OVHcloud.

Dans les faits, les enregistrements DNS du domaine cned.fr contredisent – s’il le fallait encore – les affirmations du ministre. Sans surprise, il n’apparaît point d’OVHcloud derrière le service « Ma classe à la maison ».

Jusqu’à ce week-end, les sous-domaines ecole.cned.fr, college.cned.fr et lycee.ned.fr pointaient vers des adresses IP appartenant au Belge CBlue, qui se présente comme « entreprise de consultance en informatique dédiée à la production et la réalisation de plateforme e-learning, de Serious Games, ainsi que dans l’installation et la maintenance d’infrastructure de produits WEB ». Sur son site, CBlue explique avoir été créé en 2007 avec, alors, un capital de 18 600 euros. L’entreprise revendique une croissance continue, avec un chiffre d’affaires de 425 000 euros en 2014. Les détails affichés de ses performances financières s’arrêtent là.  

Mais depuis ce matin 7 avril, les sous-domaines college.cned.fr et lycee.cned.fr pointent chacun vers une adresse IP différente attribuée à Sucuri. Ce dernier est un spécialiste de la sécurité Web, qui propose notamment des services de réseau de distribution de contenu (CDN), et de protection d’applications Web (WAF), avec en particulier la remédiation des attaques en déni de service distribué (DDoS), sur les couches réseau 3, 4, et 7.

À l’heure où sont écrites ces lignes, le sous-domaine ecole.cned.fr continue de pointer vers l’infrastructure de CBlue. Un changement a peut-être été enclenché et la propagation des informations DNS n’est peut-être pas encore achevée. Le sous-domaine classevirtuelle.cned.fr, pour les enseignants, apparaît, quant à lui, hébergé chez Digital Ocean.

L’ironie est que l’histoire semble bégayer. Car l’historique des enregistrements DNS de cned.fr montre que celui-ci a eu recours aux services de Sucuri : entre mi-décembre 2019 et fin mai 2020, pour lycee.cned.fr, et entre début décembre 2019 et début avril 2020, pour college.cned.fr. Le sous-domaine ecole.cned.fr semble quant à lui être resté protégé par Sucuri jusqu’au début du mois de juin 2020. Mais après cela, tout le monde s’en est retourné vers l’infrastructure de CBlue.

Mais y a-t-il eu attaque DDoS sur le service « Ma classe à la maison » ? Dans un communiqué de presse, le Cned l’assure, affirmant que son site Cned.fr « a connu plus de 20 attaques sur la seule matinée de ce mardi 6 avril », avant une autre, « massive, vers 14h30 » qui a, « elle, entraîné des coupures du site ».

Le Cned affirme en outre que « Ma classe à la maison » a également été « l’objet de plusieurs dizaines d’attaques, qui n’ont pu être totalement bloquées par l’opérateur », CBlue, donc, avant le recours aux services Sucuri, pour « des mesures complémentaires de protection ».

Le Cned indique avoir fourni les traces techniques desdites attaques à l’Agence nationale de la sécurité des systèmes d’information (Anssi), et prévoir de déposer une plainte. Mais aucun de ces indicateurs n’a pour l’heure été porté à l’attention du public. Selon nos sources, toutefois, il ne faudrait pas chercher du côté d’attaques véritablement massives. 

Les changements des enregistrements DNS du Cned laissent donc entrevoir une prise en compte à tout le moins limitée de l’expérience acquise il y a un an. Mais on est tenté d’ajouter à cela d’autres questions, à commencer par le dimensionnement de la plateforme, Blackboard Collaborate, déployée en urgence au printemps 2020, sur AWS, qui ne manquait pas de s’en vanter à l’époque. De même qu’Aptilink, qui représente Blackboard en France.

Et la question de la protection contre les DDoS revient là une nouvelle fois. Car AWS propose lui-même un service WAF. Mais il n’est pas seul à le faire ! Sur sa place de marché, on trouve des offres de protection DDoS signées F5, Fortinet, Barracuda Networks, Imperva, Pulse Secure, Reblaze, etc. De nouveau, donc, quid de l’expérience acquise en un an ?

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)