Le jour où Telnet a disparu

• Le 14 janvier 2026 à 21 h (UTC), le trafic Telnet mondial s’est brutalement effondré, avec une baisse persistante de 59 % confirmée par le réseau d’observation
• 18 ASN sont devenus complètement silencieux, et le trafic a entièrement disparu dans 5 pays (Zimbabwe, Ukraine, Canada, Pologne, Égypte)
• Les principaux fournisseurs cloud (AWS, Contabo, etc.) ont au contraire progressé, tandis que les ISP nord-américains ont subi une forte baisse
• Six jours plus tard, la vulnérabilité de contournement d’authentification de GNU Inetutils telnetd (CVE-2026-24061) a été rendue publique, confirmant une faille critique permettant d’obtenir les privilèges root
• Le secteur s’intéresse à l’hypothèse d’un filtrage du port 23 au niveau du backbone mis en place après notification préalable, et considère cet épisode comme symbolique de la fin de Telnet

Effondrement du trafic Telnet mondial

• Le 14 janvier 2026 à 21 h (UTC), la GreyNoise Global Observation Grid a détecté un effondrement brutal du trafic Telnet
  • En une heure, on est passé d’environ 74 000 sessions à 22 000, soit une chute de 65 %
  • Deux heures plus tard, le niveau est tombé à 11 000 sessions, soit une baisse de 83 %, avant de se stabiliser
• Par rapport à la moyenne quotidienne de 910 000 sessions observée entre décembre 2025 et début janvier 2026, le trafic est ensuite descendu à 370 000 sessions, soit une baisse de 59 %
• Il ne s’agit pas d’un déclin progressif mais d’une rupture brutale à un instant précis (changement de type fonction en escalier), ce qui suggère une possible modification de configuration dans l’infrastructure de routage

Réseaux et pays devenus silencieux

• 18 ASN sont passés à 0 trafic Telnet après le 15 janvier
  • Vultr (AS20473) : 380 000 → 0, Cox Communications (AS22773) : 150 000 → 0
  • Y compris Charter/Spectrum (AS20115), BT/British Telecom (AS2856), etc.
• Disparition complète du trafic dans 5 pays (Zimbabwe, Ukraine, Canada, Pologne, Égypte)
• À l’inverse, AWS a progressé de 78 %, Contabo de 90 %, et DigitalOcean s’est maintenu à +3 %
  • Les fournisseurs cloud ont évité l’impact du filtrage backbone via des réseaux de peering privés

Hypothèse d’un filtrage du port 23

• Le schéma observé suggère qu’un fournisseur nord-américain de transit Tier 1 a appliqué un filtrage du port 23
  • Le moment correspond à 16 h, heure de la côte Est des États-Unis, en phase avec une fenêtre de maintenance américaine
  • Les ISP américains comme Cox, Charter, Comcast (-74 %) ont été fortement touchés
  • Verizon/UUNET (AS701) recule de 79 %, pouvant être l’acteur du filtrage ou un chemin amont majeur en cause
• Les pays européens en peering direct (France +18 %, Allemagne -1 %) ont été peu affectés
• Les opérateurs chinois China Telecom et China Unicom enregistrent tous deux une baisse de 59 %
  • Cette baisse uniforme suggère un filtrage sur les liens transpacifiques côté américain

Divulgation de la vulnérabilité CVE-2026-24061

• Vulnérabilité de contournement d’authentification dans GNU Inetutils telnetd, classée CVSS 9.8
  • Lors du traitement de la variable d’environnement USER, une injection d’argument permet, en passant -f root, d’obtenir un shell root sans authentification
  • Introduite par un commit de 2015, elle est restée non détectée pendant environ 11 ans
• Calendrier principal
  • 14 janvier : début de l’effondrement du trafic Telnet
  • 20 janvier : publication de la CVE
  • 21 janvier : inscription au NVD et premières exploitations observées
  • 26 janvier : ajout à la liste CISA KEV
• Le trafic s’est effondré 6 jours avant la publication de la CVE, ce qui alimente l’idée d’un lien allant au-delà d’une simple coïncidence

Hypothèse d’une notification préalable et d’une réponse d’infrastructure

• Les auteurs du signalement de la vulnérabilité seraient Kyu Neushwaistein / Carlos Cortes Alvarez, avec un rapport daté du 19 janvier
• Le fait que la préparation du correctif et la réponse de la CISA aient été engagées dès le lendemain de la publication laisse envisager une coordination préalable
• GreyNoise avance le scénario suivant
  • Les principaux opérateurs d’infrastructure auraient été prévenus à l’avance et appliqué de manière préventive un filtrage du port 23
  • Mise en service du filtrage le 14 janvier → publication le 20 janvier → inscription CISA le 26 janvier
• Aucune preuve claire n’existe, et une simple coïncidence de calendrier reste aussi possible

Évolution du trafic Telnet par la suite

• Après le 14 janvier, un profil en dents de scie persiste
  • Exemple : 800 000 sessions le 28 janvier → 190 000 sessions le 30 janvier
  • Cela peut correspondre à un filtrage intermittent, à des variations de routage ou à une campagne de scan spécifique
• Moyennes hebdomadaires
  • Semaine du 19 janvier : 360 000 sessions (40 % du niveau de référence)
  • Semaine du 2 février : 320 000 sessions (35 %)
• Le trafic s’est stabilisé autour d’environ un tiers du niveau de référence, tout en poursuivant sa baisse

Enseignements pour la sécurité et l’exploitation

• Les utilisateurs de GNU Inetutils telnetd doivent mettre à jour immédiatement vers la version 2.7-2 ou supérieure ou désactiver le service
  • La CISA fixe au 16 février 2026 la date limite de correctif pour les agences fédérales
  • Des tentatives d’exploitation ont été observées en quelques heures après la divulgation publique, atteignant 2 600 sessions par jour début février avant de reculer
• Les opérateurs réseau doivent envisager un filtrage du port 23
  • Un filtrage est déjà en cours au niveau backbone, et le trafic Telnet est désormais considéré comme un protocole sans valeur
• GreyNoise note que « quelqu’un a coupé Telnet sur une part significative d’Internet »,
  et y voit un événement symbolisant la fin de l’ère Telnet