Panne de impots.gouv.fr

13 mai 2024

Depuis dimanche 12 mai 2024, dans la soirée, plusieurs personnes signalent sur les réseaux sociaux une « panne du site impots.gouv.fr ». Il s'agissait d'un problème DNS (Domain Name System) lui-même dû à un problème de routage ou bien à une attaque par déni de service. Le problème n'affectait que certains utilisateurs. Il s'est terminé vers 14:45 UTC. Les résolveurs DNS répondaient avec le code SERVFAIL (Server Failure) et, s'ils fournissaient les EDE (Extended DNS Errors), précisaient quelque chose comme « NO_REACHABLE_AUTHORITY ». impots.gouv.fr n'a que deux serveurs faisant autorité, ce qui est clairement insuffisant pour un domaine aussi critique et, pire, tous les deux sont dans le même AS (Autonomous System), le 34177 (l'opérateur Celeste). Un problème de routage entre l'opérateur où se trouve votre résolveur DNS et Celeste et paf, plus d'impots.gouv.fr. Vu par les sondes RIPE Atlas, voici la situation au matin du lundi 13 mai :

% blaeu-resolve --requested 200 --country FR --ipv4 --type A  impots.gouv.fr
[145.242.11.100] : 125 occurrences 
[ERROR: SERVFAIL] : 61 occurrences 
Test #71358106 done at 2024-05-13T06:48:09Z

On voit qu'environ le tiers des sondes RIPE Atlas en France avaient un problème à résoudre ce nom. Certains résolveurs DNS publics y arrivaient, mais pas tous, selon la chance et la façon dont ils sont connectés. Ici, celui de Cloudflare (notez l'EDE) :

% dig @1.1.1.1 impots.gouv.fr A
…
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 19564
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1232
; EDE: 22 (No Reachable Authority): (at delegation impots.gouv.fr.)
;; QUESTION SECTION:
;impots.gouv.fr.		IN A

;; Query time: 8 msec
;; SERVER: 1.1.1.1#53(1.1.1.1) (UDP)
;; WHEN: Mon May 13 11:03:26 CEST 2024
;; MSG SIZE  rcvd: 78

Un examen des mesures effectuées par les sondes RIPE Atlas indique que le problème ne semblait pas lié à l'AS (à l'opérateur). Par exemple, aussi bien chez Free, AS 12322, que chez Orange, AS 3215, certaines sondes Atlas arrivaient à résoudre le nom et d'autres pas. Cela peut être dû au fait qu'elles n'utilisaient pas le même résolveur (aussi bien Free que Orange en ont plusieurs, et certains résolveurs, pour compliquer davantage les choses, avaient peut-être l'information dans leur mémoire) ou bien que certaines utilisaient un résolveur autre que celui par défaut ou encore qu'il ne s'agissait pas d'un problème de routage mais d'une attaque par déni de service, avec des serveurs faisant autorité qui ne répondaient que partiellement.