Les récentes pannes montrent que votre vie numérique dépend de plus en plus de quelques fichiers se comportant correctement — car le cloud n'a pas été conçu pour échouer avec élégance.

Smith Collection/Gado/Getty Images
En l'espace de quelques mois cette année, Internet a réussi à se bouleverser de quatre manières différentes. Et les explications officielles ont atterri avec tout le romantisme d'un journal de maintenance. Un fichier Cloudflare a dépassé sa taille prévue. Une entrée DNS à l'intérieur d'AWS ne pointait nulle part. Un changement de configuration Azure a mal tourné. Une règle de contrôle de service Google $GOOGL s'est enchaînée dans un échec et s'est envoyée dans des cycles de plantage répétés.
Chaque échec a commencé comme une tâche de maintenance de routine — l'équivalent numérique de laisser une porte entrouverte. Chacun s'est transformé en une interruption mondiale.
Rejoignez plus de 500 000 lecteurs qui commencent leur journée avec Quartz.
En vous abonnant, vous acceptez nos Conditions d'utilisation et notre Politique de confidentialité.
Ces événements se sont glissés en place discrètement et ont révélé la même vérité inconfortable : Internet est une structure étroitement liée, pas un réseau vaste et distribué, comme beaucoup de gens pourraient l'imaginer. Un petit changement dans un coin déclenche une réaction en chaîne dans un autre car tant de services numériques dépendent des mêmes passerelles, des mêmes équilibreurs de charge, des mêmes points de contrôle d'identité, et des mêmes couches de routage. La fragilité réside à l'intérieur de ces voies partagées, pas à l'intérieur des applications individuelles qui ont disparu de la vue.
Donc, non, vous n'avez pas tort : Internet donne l'impression de se casser — parce que nous l'avons rendu trop grand pour échouer et trop petit au sommet pour rester debout.
Lorsqu'un fichier a dépassé sa taille prévue à l'intérieur de Cloudflare plus tôt cette semaine, les répercussions se sont étendues bien au-delà des sites qui fonctionnent réellement sur Cloudflare. Les banques ont vu leurs performances se dégrader. Les paiements en détail ont ralenti. Les plateformes de messagerie se sont bloquées. Même les équipements supposés « intelligents » sur lesquels les gens comptent pour faire fonctionner leur matin — la cafetière qui dépend d'une poignée de main dans le cloud, le thermostat qui insiste sur sa vérification, l'application qui décide si le trajet est supportable — ont bégayé alors que la couche périphérique se décalait.
La direction de Cloudflare n'a pas pris la peine de tourner les choses. Le directeur technique de l'entreprise a tweeté des excuses qui reconnaissaient « échouer à l'internet au sens large » et ont imputé la faute à un bug latent déclenché par un changement de configuration de routine. Pas de violation, pas d'acteur sinistre — juste une modification quotidienne qui a réussi à faire trébucher un réseau de la taille d'un continent.
L'entreprise traite environ un cinquième du trafic web mondial, ce qui signifie qu'un changement d'autorisations à l'intérieur d'une base de données a touché des millions de sessions avec un seul déploiement. Les entreprises considèrent ce réseau périphérique comme de la plomberie. Les assureurs le considèrent comme une exposition systémique. Le Global 2000 perd désormais environ 400 milliards de dollars par an en raison des temps d'arrêt du cloud et du edge, et les plus grandes entreprises estiment régulièrement les coûts d'interruption dans la fourchette de 1 à 5 millions de dollars par heureUn fichier enfoui profondément à l'intérieur d'un système que la plupart des gens n'ont jamais entendu parler a quand même réussi à plier le monde numérique à sa volonté.
Un champ DNS manquant à l'intérieur de la région la plus active d'AWS a produit un autre type de basculement à la fin du mois dernier. Le trafic a glissé en modes de repli. Certains services se sont figés complètement. Les assureurs ont modélisé jusqu'à 581 millions de dollars en réclamations potentielles, un chiffre qui ne tient même pas compte des paniers abandonnés, des retards de paie ou des expéditions bloquées qui n'atteignent jamais le stade des formalités administratives.
Plus de 17 millions de pannes signalées par les utilisateurs se sont accumulées dans les premières heures. Ce nombre était suffisamment grand pour montrer à quel point les entreprises restent dépendantes des régions centrales d'AWS — même lorsque les architectes insistent sur le fait qu'ils ont réparti leur risque. La redondance régionale offrait peu d'isolation car les vérifications d'identité, les appels de données et les tâches en arrière-plan passent encore par la région la plus populaire par habitude. La panne n'a pas duré longtemps, mais elle a tout de même atteint des secteurs qui pensaient se tenir en dehors de la zone d'impact. Bienvenue dans le cloud moderne.
Le tour d'Azure est arrivé la semaine suivante lorsqu'une mise à jour de la gestion du trafic dans une couche périphérique de Microsoft $MSFT a ralenti les connexions au lieu de travail, les enregistrements de compagnies aériennes, les portails de vente au détail et les plateformes de jeux. Les symptômes de surface semblaient déconnectés. Le problème sous-jacent se trouvait dans un système de routage lié à la pile d'identité de Microsoft. De nombreuses organisations qui n'exécutent pas leurs applications sur Azure dépendent encore de Microsoft pour vérifier les identifiants, autoriser les sessions ou router les données des utilisateurs. Un changement dans cette couche semble minime sur le papier. Mais en pratique, il affecte le voyage, le commerce, la communication et les flux de travail de bureau — tous en même temps.
Une règle de contrôle de service s'est glissée dans la mauvaise couche à l'intérieur de Google Cloud au cours de l'été et a déséquilibré la plateforme. Le code qui signe les appels API de routine a continué de planter et de redémarrer, et les demandes qui sont généralement traitées en un clin d'œil ont commencé à caler ou à tomber. Le bégaiement est apparu à travers les régions comme des échecs d'authentification, des constructions interrompues et des applications clignotant et disparaissant de la vue — touchant des plateformes de streaming, des outils de collaboration et les propres systèmes de Google avant que la plateforme ne parvienne à se stabiliser. Cela n'a pas duré longtemps, mais cela a clairement montré que le plan de contrôle de Google se comporte comme une seule surface, et un petit changement dans cette couche suit chaque chemin qui en dépend.
Ces pannes ne provenaient pas du même défaut. Mais elles pointaient vers la même structure.
Internet s'est développé autour d'une poignée de fournisseurs d'infrastructure qui servent désormais de piliers pour l'économie mondiale. Amazon $AMZN, Microsoft et Google contrôlent environ 62 % des dépenses mondiales en infrastructure cloud. Cloudflare se trouve devant 20 % du web, et plus de 80 % des sites qui utilisent des serveurs proxy inversés dépendent de cela comme leur seul fournisseur. Les plateformes d'identité de Microsoft, Amazon et Okta gèrent des centaines de millions de connexions par jour.
Internet ressemblait autrefois à un réseau de mycélium : désordonné, redondant et distribué. De plus en plus, il ressemble à une poignée de fermes de serveurs en verre et en acier et de passerelles de sécurité, où un fichier de taille moyenne à San Francisco ou un enregistrement DNS vide en Virginie peut brièvement faire basculer toute l'économie numérique sur son axe.
Les entreprises parlent encore de diversité d'infrastructure. Elles font référence à des configurations multicloud et à des stratégies de basculement de région. Ces pannes ont montré à quel point ces stratégies deviennent minces une fois que les chaînes de dépendance partagées sont mises en lumière. Un détaillant qui répartit son calcul sur plusieurs clouds trébuche encore lorsque son flux de paiement dépend d'un CDN qui s'est éteint. Un hôpital qui garde ses dossiers patients dans des systèmes sur site subit encore des retards si ses intégrations de messagerie ou d'imagerie passent par un service cloud lié à la mauvaise couche de routage. Une compagnie aérienne qui investit massivement dans ses propres centres de données voit encore un ralentissement lorsque ses contrôles d'identité passent par un fournisseur d'authentification en difficulté.
Aucune de ces organisations n'a particulièrement mal planifié. Le problème réside dans la pile moderne elle-même. Trop de fonctions critiques dépendent de couches qui échappent au contrôle d'une entreprise.
Les analystes qui étudient les pannes prêtent moins attention à la durée et plus au rayon de diffusion. L'incident AWS s'est propagé à plus de 3 500 entreprises dans plus de 60 pays. La défaillance de Cloudflare a généré plus de 11 000 rapports d'incidents utilisateurs et perturbé les workflows dans les banques, les détaillants, les systèmes logistiques, les plateformes médiatiques et les agences gouvernementales — tous pensant que leur couche « edge » était suffisamment éloignée du bord de quoi que ce soit. Le ralentissement d'Azure a entraîné plus de 30 000 rapports de panne dans la première heure et a produit des perturbations dans les voyages, le divertissement, et la moitié des façons numériques dont les gens procrastinent. La bévue de Google a envoyé plus de 10 000 rapports au niveau du cloud et a provoqué des défaillances dans les plateformes de streaming, les outils de collaboration, et les services qui s'appuient sur son cloud. Chaque incident a révélé à quel point les fondations de l'internet sont devenues concentrées. Un revers chez un fournisseur se propage à travers les secteurs parce que les mêmes réseaux, les mêmes systèmes de livraison de contenu, et les mêmes services d'identité apparaissent en dessous de la plupart des produits numériques.
L'ampleur des pannes avait moins à voir avec le temps et tout à voir avec ce qui les a déclenchées. De petits changements presque oubliables — un fichier de configuration dépassant sa limite, un pointeur DNS disparaissant, une règle de routage dérivant, une vérification de contrôle de service tournant à l'échec — ont fini par déstabiliser des systèmes entiers. Petite cause, grand effet. Aucun de ces mouvements ne ressemble à un déclencheur de pertes de plusieurs millions de dollars ou de workflows globaux gelés, mais dans un système aussi consolidé, c'est là que l'impact s'est produit. Le risque réel ne réside plus dans les services ou centres de données individuels. Il réside dans le tissu conjonctif sur lequel tout le monde s'appuie sans y penser.
Les fournisseurs de cloud et les réseaux de trafic continuent de promouvoir la redondance, et l'ingénierie derrière ces affirmations est réelle. Le problème réside dans les lacunes que ces stratégies ne peuvent atteindre. La redondance chez un fournisseur protège les charges de travail qui restent dans les murs de ce fournisseur. Elle n'offre aucune protection contre les couches DNS partagées, les réseaux de bord partagés ou les piles d'identité partagées. Tant que ces couches restent concentrées autour d'un petit nombre d'entreprises, un ajustement de routine peut pousser les entreprises de différents secteurs dans un ralentissement parallèle.
Les perturbations de cet automne n'ont pas suggéré un échec d'internet ; elles ont offert une meilleure image de celui qui existe.
Le web se comporte plus comme un moteur interconnecté unique que ne le réalisent la plupart des gens. Les entreprises et les institutions du secteur public fonctionnent désormais à l'intérieur de ce moteur, qu'elles le veuillent ou non. La prochaine panne pourrait provenir d'un changement de paramètre, d'un changement dans une table de routage, ou d'un fichier qui franchit un seuil. L'internet ne s'est pas effondré (encore). Mais il vient de montrer à quel point il pourrait facilement l'être.