Des fournisseurs d’accès à Internet, des sociétés d’hébergement, des bureaux d’enregistrement de noms de domaine et d’autres acteurs du secteur se posent des questions suite à l’annonce par le ZA registry Consortium (ZARC) d’une cyberattaque ayant provoqué une panne qui a touché les domaines CO.ZA.
Le ZARC a indiqué que le domaine de premier niveau (ccTLD) du code pays d’Afrique du Sud, en particulier les domaines secondaires sous son administration, était victime d’une attaque par déni de service.
L’attaque aurait débuté le 6 mars 2025. Bien que le ZARC gère également net.za, org.za et web.za, les domaines co.za semblent être les plus touchés.
Des acteurs du secteur se demandent si le fournisseur d’infrastructure du ZARC, Domain Name Services (DNS business), a subi une attaque réelle ou si la panne était un but contre son camp.
Le ZARC est une coentreprise avec DNS business, à ne pas confondre avec le protocole DNS. DNS Business gère l’infrastructure technique de la zone .ZA.Dans un avis envoyé aux parties prenantes,le ZARC n’a pas confirmé avoir subi une attaque par déni de service distribué (DDoS).
il a plutôt décrit l’événement comme « une charge système extraordinaire qui a effectivement causé un déni de service »,ce qui a automatiquement déclenché ses mécanismes de protection DDoS.
« Au cours des derniers jours, l’espace de noms .ZA a connu des charges de trafic extrêmement élevées sur ses serveurs de noms, ce qui a eu un impact sur certains de ses utilisateurs », a déclaré le ZARC.
« Cette augmentation soudaine du trafic a déclenché nos procédures de protection DDoS qui, dans le cadre de la conception, ont temporairement limité une partie du trafic afin de maintenir la stabilité globale du système », a-t-il ajouté.
« Notre enquête a révélé qu’une charge système extraordinaire a effectivement causé un déni de service, affectant nos services DNS.Notre équipe a depuis mis en œuvre des mesures pour atténuer cela. »
À la suite de la panne, plusieurs personnes du secteur ont interrogé l’infrastructure de .CO.ZA et ont constaté qu’elle ne disposait que de trois serveurs de noms,dont un seul était soutenu par une infrastructure basée sur anycast.
Les serveurs de noms font partie du système de noms de domaine (DNS), un protocole Internet essentiel qui traduit les domaines Internet en nombres que les routeurs et les serveurs peuvent comprendre. Le DNS peut être considéré comme l’annuaire téléphonique d’Internet.Anycast est une méthodologie d’adressage et de routage réseau dans laquelle une seule adresse IP est partagée par des serveurs situés à plusieurs endroits.
Les routeurs Internet dirigent les paquets adressés à cette destination vers l’emplacement le plus proche de l’expéditeur, en utilisant leurs algorithmes de prise de décision habituels.
En plus d’accélérer les temps de réponse, anycast contribue également à atténuer les attaques par déni de service.
Le ZARC a répondu aux questions.
« ZARC utilise les services de Netnod,qui est l’un des principaux fournisseurs d’anycast au monde »,a déclaré le ZARC.
« Une instance anycast se compose de plusieurs serveurs répartis à travers le monde. Netnod a développé l’un des réseaux anycast DNS les plus vastes et les plus avancés au monde. »
Le réseau de Netnod est disponible dans plus de 80 emplacements dans le monde.
« Packet Clearing House (PCH), également un excellent fournisseur de services, fournit des services anycast gratuits pour les autres zones .za », a-t-il ajouté.
Il est courant parmi les domaines de premier niveau d’avoir un serveur anycast et plusieurs serveurs unicast.
« Un serveur de noms unicast est simplement un serveur ordinaire ou un cluster de serveurs. Un anycast est un ensemble de serveurs situés à différents endroits, tous utilisant la même adresse IP mais apparaissant comme un seul serveur », a-t-il expliqué.
« Le rôle de la constellation anycast est d’atténuer les attaques DOS comme celle-ci. Même si un attaquant parvient à mettre hors service un serveur, cela n’interrompra le service que dans un seul endroit, le reste restant opérationnel. »
le ZARC étudie la possibilité d’établir une solution anycast régionale supplémentaire en partenariat avec un fournisseur spécialisé afin de réduire les coûts liés à l’ajout d’un service anycast mondial complet supplémentaire.
Des sources du secteur ont contesté l’affirmation du ZARC selon laquelle il était courant d’avoir une seule instance anycast et plusieurs serveurs unicast.
« L’instance anycast du ZARC est répartie à travers le monde avec une instance unicast basée aux États-unis », a déclaré le ZARC.
« Les autres serveurs de noms sont situés en Afrique du Sud, car la majorité du trafic et des requêtes DNS proviennent d’Afrique du sud et bénéficieraient d’une latence plus faible. »
Une requête DNS provenant de la région d’Afrique du Sud prendrait environ 20 millisecondes à se terminer contre environ 200 millisecondes à partir d’un serveur de noms international tel qu’aux États-Unis.
« Notre principale méthode pour assurer une présence dans plusieurs pays est via anycast »,a-t-il déclaré.
« Actuellement, il existe plus de 80 emplacements Netnod DNSNODE sur six continents, notamment en Amérique du Nord, en Amérique du sud, en Europe, en Asie, en Australie et en Afrique », a-t-il déclaré.
Un autre serveur unicast a déjà été ajouté au center de données de netnod en Suède.
Il a également été demandé pourquoi net.za continuait de fonctionner, alors que co.za rencontrait des problèmes.
« Net.za est une zone beaucoup plus petite avec moins de 3 000 domaines,tandis que co.za compte plus de 1,3 million de domaines avec des volumes de trafic plus importants, ce qui a pour conséquence que l’impact d’une attaque ddos est plus grave. »
Un autre sujet est les attaques DDoS contre X et Microsoft.
Des pannes de X auraient été causées par une cyberattaque massive [[1]].Selon un rapport de la société de sécurité orange Cyberdefense, Dark Storm Team, apparue vers septembre 2023, est spécialisée dans l’accès à distance, l’infiltration de données, les ransomwares et les attaques DDoS [[1]].
Dark Storm Team a revendiqué la responsabilité de la panne de X [[2]]. Elon Musk a déclaré que le site avait été touché par une attaque par déni de service distribué (DDoS) [[2]].
Microsoft a confirmé qu’une nouvelle panne avait été déclenchée par une cyberattaque [[3]]. Il semble que la panne ait été causée par une attaque DDoS, malgré le fait que Microsoft avait des protections en place [[3]].
Panne des domaines .co.za : Une surcharge système ou une attaque DDoS ?
Table of Contents
Le 6 mars 2025, une panne a affecté les domaines .co.za, gérés par le ZA registry Consortium (ZARC). Si le ZARC parle de “charge système extraordinaire”, des questions persistent quant à la nature exacte de l’incident : attaque DDoS ou simple surcharge ?
L’incident .co.za : les faits
Le ZARC, en coentreprise avec DNS Business (gestionnaire de l’infrastructure technique .ZA), a signalé une “charge système extraordinaire” ayant causé un déni de service sur les serveurs de noms des domaines .co.za. Bien que les domaines .net.za,.org.za et .web.za soient également gérés par le ZARC, .co.za, avec plus de 1,3 million de domaines, a subi le plus fort impact. L’infrastructure .co.za repose sur trois serveurs de noms, dont un seul utilise la technologie anycast via Netnod. Le ZARC utilise également Packet Clearing House (PCH) pour les autres zones .za.
Anycast : une solution contre les attaques DDoS ?
L’anycast, méthode de routage réseau utilisant une seule adresse IP partagée par plusieurs serveurs, est censé atténuer les attaques DDoS. En distribuant le trafic sur plusieurs emplacements, l’anycast limite l’impact d’une attaque ciblant un seul serveur. Le ZARC a expliqué que son instance anycast est distribuée mondialement via Netnod (plus de 80 emplacements), et complétée par des serveurs unicast situés en Afrique du Sud pour une latence réduite.
| Type de serveur | Emplacement | Nombre | latence (Afrique du Sud) | Notes |
|—————–|—————–|——–|————————–|———————————————-|
| Anycast | Mondial (Netnod) | Plusieurs | ~200 ms | Résilience accrue contre les attaques DDoS |
| Unicast | Afrique du Sud | Plusieurs | ~20 ms | Latence optimale pour les requêtes locales |
| Unicast | États-Unis | 1 | ~200 ms | |
Comparaison avec d’autres incidents : X et Microsoft
Des attaques DDoS ont également impacté X (anciennement Twitter) [[1]] et Microsoft [[3]], soulignant la persistance et l’efficacité de ce type d’attaque. Dans le cas de X, le groupe Dark Storm Team a revendiqué la responsabilité.[[2]]
FAQ
Q : L’incident .co.za était-il une véritable attaque DDoS ?
R : Le ZARC a évoqué une “charge système extraordinaire” ayant déclenché ses protections DDoS, sans confirmer explicitement une attaque DDoS.
Q : Pourquoi .net.za n’a-t-il pas été affecté ?
R : .net.za est une zone beaucoup plus petite (moins de 3000 domaines) que.co.za, rendant son impact moins significatif.
Q : Quelle est la stratégie du ZARC pour améliorer la résilience ?
R : Le ZARC étudie l’ajout d’une solution anycast régionale pour réduire les coûts d’une solution anycast globale complète.
Q : Pourquoi seulement trois serveurs de noms pour .co.za ?
R: La configuration actuelle comprend une instance anycast et des serveurs unicast en Afrique du Sud et aux États-Unis.Un serveur unicast additionnel a été ajouté en Suède via Netnod. Des sources contestent que cette configuration est courante.