Une nouvelle affaire de « détournement » via #BGP d’un serveur de noms de la racine. Après I-root en mars 2010 ►http://www.bortzmeyer.org/detournement-racine-pekin.html, le serveur F-root a vu dimanche son bassin d’attraction BGP soudainement élargi à une bonne partie de la planète (apparemment, uniquement en #IPv6).
Une bonne analyse technique détaillée est en ►http://bgpmon.net/blog/?p=540. Comme je l’indique dans les commentaires, une bonne partie du problème est que l’Internet IPv6 est beaucoup plus plat que l’Internet IPv4. La longueur des chemins d’AS y est bien plus courte ►http://labs.ripe.net/Members/mirjam/interesting-graph-as-path-lengths et un changement infime peut donc faire basculer les routes de la moitié de la planète.
Une autre analyse technique, remontant plus loin dans le temps, est en ►https://labs.ripe.net/Members/emileaben/f-root-route-leak-the-dnsmon-view.
Les points importants à garder en tête : oui, la dictature chinoise réécrit les réponses DNS (comme bientôt la France, merci les lois en I) et il y a donc un risque si on pose des questions à un serveur hébergé en Chine. Non, ce n’est sans doute pas une attaque (puisque tout le monde peut la voir, ce serait une attaque bien grossière), il y a bien davantage d’incompétents que de méchants. Et la solution technique est d’utiliser #DNSSEC, point.