Le rapport de l'Anssi étrille Orange sur la panne des numéros d'urgence
Le rapport d'audit rendu par l'Anssi sur la gestion par Orange de la panne des numéros d'urgence du 2 juin 2021 éreinte l'opérateur historique. Commandes hasardeuses sur les équipements, lenteur dans la remontée d'informations, et enfin manque de conseil technique sont pointés du doigt. Le gouvernement a décidé de saisir l'Arcep et va organiser un exercice de crise tous les 6 mois sur les appels d'urgence.
Il était attendu pour éclairer la gestion de la panne des numéros d'urgence le 2 juin 2021 par Orange. Le rapport de l'Anssi diligenté par le gouvernement après ce dysfonctionnement vient d'être rendu et tacle l'opérateur historique. En préambule, le rapport rappelle la chronologie des faits. L'incident commence à 16h45 ce 2 juin où le Samu et d'autres services d'urgence constatent une baisse brutale du nombre d'appels. L'alerte est donnée et deux heures après une cellule interministérielle est mise en place pour trouver des solutions alternatives. Dans le même temps, Orange constitue aussi sa cellule de crise « avec lenteur », glisse Antoine Berthier, coordinateur sectoriel sur les télécoms à l'Anssi en charge du rapport.
Des commandes hasardeuses sur les call server
Il rappelle l'aspect technique des appels d'urgence où il y a une cohabitation entre la technologie RTC (réseau télécom commuté) utilisée par les services d'urgence et ceux qui transitent via le réseau mobile ou les box s'appuyant sur le réseau IP. Pour faire le lien entre les deux mondes, l'opérateur Orange dispose d'équipements spécifiques nommés call server, 6 en l'occurrence fournit par Italtel. C'est par ces derniers que l'incident est arrivé. Le rapport écarte dés le départ une cyberattaque et se focalise sur 3 facteurs : « des commandes hasardeuses, dans un temps restreint et un bug préexistant dans les équipements ».
Sur le premier point, Antoine Berthier parle « d'une procédure de routine passée dans un ordre inhabituel, ces commandes ont alors déclenché un bug dans les call server ». Il ajoute que cette erreur logicielle rendait « la mémoire pleine et redémarrer l'équipement en boucle ». Sur le point du temps restreint, « les commandes ont été passées sur les 6 serveurs en même temps. La bonne pratique est de commencer à tester une commande sur un call server est de voir si cela se passe ou si cela déclenche le bug », tacle le rapporteur. Dans son audit interne, l'opérateur n'évoquait que le bug logiciel pour expliquer la panne.
Saisine de l'Arcep et exercice de crise tous les 6 mois
Si la faute d'Orange est établie, le gouvernement veut en tirer les conséquences. Cédric O, secrétaire d'Etat en charge du numérique a décidé de saisir d'ici fin juillet l'Arcep pour savoir si l'opérateur historique a respecté ses obligations en matière de numéro d'urgence. Cette saisine pourrait entraîner à l'issue de la procédure une sanction d'Orange. Pour renforcer ces obligations qui touchent l'ensemble des opérateurs, l'exécutif va changer le cadre réglementaire et législatif notamment sur les délais d'alerte et les précisions de la panne. Là encore le rapport pointe du doigt les lacunes d'Orange sur la remontée d'informations et le manque de conseil technique pour résoudre la panne pendant la crise.
Enfin, il est prévu la mise en place d'un exercice de crise tous les 6 mois sur les appels d'urgence afin d'éviter qu'un pareil incident se reproduise. Interrogé sur un éventuel remplacement des call server actuels, le gouvernement estime qu'il n'est guère opportun de changer en arguant qu'il existe peu de fournisseurs sur cette technologie RTC. Reste maintenant à savoir si les familles de victimes en lien avec cette panne se retourneront contre Orange. L'exécutif évoque 6 personnes potentiellement impactées par ce dysfonctionnement.