Un Bug de Cloudflare Met Une Partie du Web Hors Service.
Un changement de configuration apparemment routinier a déclenché mardi 18 novembre une gigantesque panne en cascade sur l’ensemble du réseau mondial de Cloudflare, paralysant près de 20% des services web les plus populaires pendant plus de quatre heures. Des géants de l’IA comme ChatGPT aux réseaux sociaux tels que X (anciennement Twitter), en passant par des systèmes de transport critique, cette panne a mis en lumière la fragilité de l’infrastructure Internet centralisée.
Cloudflare a confirmé tard dans la nuit que la perturbation n’était pas une cyberattaque mais une erreur technique interne causée par un « bug latent » dans son logiciel de gestion des bots.
Aperçu rapide : La panne du 18 novembre
-
Déclencheur : Un fichier de configuration du Bot Management devenu trop volumineux, provoquant le crash du logiciel proxy principal à l’échelle mondiale.
-
Portée : Environ 19,3% de tous les sites web actifs touchés, dont OpenAI, Canva, Discord et Shopify.
-
Erreur perçue : Les utilisateurs ont vu s’afficher un message du type challenges.cloudflare.com, leur laissant croire à tort que leur propre navigateur ou bloqueur de publicité était en cause.
-
Impact financier : L’action Cloudflare (NET) a chuté de 2,8% en préouverture du marché après l’incident.
-
Durée : Perturbation principale d’environ 4 heures (de 11 h 20 à 15 h 30 UTC).
-
Statut : Résolue. Les dirigeants de Cloudflare ont présenté leurs excuses publiques.
« Embouteillage numérique » : Que s’est-il passé ?
Le chaos a commencé vers 11 h 20 UTC (6 h 20 du matin, heure de l’Est). Les internautes tentant d’accéder à des services comme Spotify ou au site du New Jersey Transit se sont retrouvés face à un message d’erreur énigmatique plutôt qu’à une page « 404 » classique.
Ce message particulier a semé la confusion. Des millions d’utilisateurs ont cru que le problème venait de leur propre système de sécurité. En réalité, le système interne de Cloudflare chargé de vérifier si un visiteur est humain s’était effondré, bloquant l’accès aux milliers de sites qu’il devait protéger.
Selon les données de Downdetector, les signalements de pannes ont explosé à 11 h 25 UTC. Vers midi, le hashtag « Internet Down » était en tête des tendances sur les rares plateformes encore fonctionnelles.
Le « bug latent » expliqué
Tard mardi soir, Cloudflare a publié un premier rapport d’incident. La société a révélé que la cause principale était un « bug latent » dans la logique de génération d’un fichier utilisé par son système de Bot Management.
Lorsqu’une mise à jour de routine a été déployée, le système a automatiquement généré un fichier de configuration bien plus volumineux que d’habitude — environ deux fois plus grand.
Ce bug, resté latent jusqu’alors, n’avait jamais été détecté pendant les tests puisque les versions précédentes du fichier n’avaient pas atteint la taille critique nécessaire pour déclencher le crash. Une fois activé en production, il a saturé la mémoire des serveurs proxy de Cloudflare dans le monde entier.
Impact mondial : de l’IA aux transports
L’effet domino a été immédiat et généralisé. Comme Cloudflare agit comme un proxy inversé pour près d’un cinquième du web, la défaillance de son réseau « edge » a empêché les utilisateurs d’accéder aux serveurs d’origine de nombreuses grandes entreprises.
Secteurs les plus touchés :
-
Intelligence artificielle : ChatGPT d’OpenAI, Claude d’Anthropic et Perplexity AI inaccessibles durant plusieurs heures.
-
Réseaux sociaux : X (Twitter) et Discord fortement affectés.
-
Productivité : Canva et Shopify interrompus, perturbant les activités commerciales mondiales.
-
Infrastructures : L’application du New Jersey Transit hors service pendant les heures de pointe, empêchant des milliers de passagers d’acheter leurs billets.
Réaction des marchés
Les investisseurs ont réagi rapidement à cette instabilité. Le titre Cloudflare a chuté de 2,8%, à 89,12 dollars, mardi après-midi. Même si un léger rebond a été observé mercredi matin, les analystes préviennent que des pannes répétées pourraient miner la confiance des entreprises.
Principales pannes récentes de Cloudflare
| Date | Cause principale | Durée | Impact majeur |
|---|---|---|---|
| 18 nov. 2025 | Bug de configuration Bot Management | ~4 h | ChatGPT, X, Canva, Spotify |
| 21 juin 2022 | Erreur de configuration BGP | ~1,5 h | Discord, Shopify, Fitbit |
| 2 juil. 2019 | Pic CPU lié au WAF Regex | ~30 min | Erreurs 502 mondiales |
Réactions officielles
Le PDG de Cloudflare, Matthew Prince, a présenté ses excuses sur X (une fois la plateforme rétablie), précisant qu’il ne s’agissait pas d’une attaque.
Le directeur technique, Dane Knecht, a confirmé qu’il s’agissait d’un échec de processus, non d’une faille de sécurité.
« Ce n’était pas une attaque », a-t-il écrit. « Un bug latent dans le service soutenant notre système d’atténuation des bots s’est déclenché après une mise à jour de routine. »
Analyse d’experts : Le problème du « point unique de défaillance »
Les experts du secteur affirment que si Cloudflare assure un rôle de sécurité essentiel, sa domination constitue également un risque — celui d’un point de défaillance unique pour une large partie d’Internet.
Et maintenant ?
Cloudflare a annoncé avoir corrigé le problème en revenant à une version précédente du fichier défectueux. Les équipes d’ingénierie effectuent désormais un audit complet de la procédure de déploiement afin de comprendre pourquoi la taille excessive du fichier n’a pas été détectée en phase de test.
Pour les directeurs informatiques et DSI, cet incident est un nouveau rappel : les stratégies multi-CDN, autrefois vues comme un luxe, deviendront sans doute une nécessité pour assurer la continuité des activités en 2026.
