IRCNF
Internet & Network

Le détournement BGP continue de casser l'internet — et RPKI est le correctif que la plupart des FAI n'ont pas encore déployé

Partager:
Le détournement BGP continue de casser l'internet — et RPKI est le correctif que la plupart des FAI n'ont pas encore déployé

En avril 2010, pendant environ 18 minutes, près de 15 % du trafic internet mondial a été redirigé via le réseau de China Telecom. Ce détournement a notamment affecté le trafic de l'armée américaine, des agences gouvernementales et de grandes entreprises. China Telecom n'a piraté aucun système. Elle a simplement annoncé qu'elle disposait de meilleures routes vers ces destinations, et le reste d'Internet l'a crue — car le Border Gateway Protocol, le système qui achemine tout le trafic internet, n'a aucun moyen de vérifier la légitimité d'une annonce de routage.

C'était il y a 16 ans. Le problème sous-jacent n'est toujours pas résolu.

Un protocole fondé sur la confiance

BGP date de 1989. Il a été conçu à une époque où Internet n'était qu'un petit réseau d'universités et d'agences gouvernementales qui se connaissaient. Le protocole part du principe que si un réseau (appelé système autonome, ou AS) annonce qu'il peut atteindre un bloc d'adresses IP donné, cette annonce est vraie. Il n'existe aucune vérification cryptographique, aucune authentification, aucun moyen de prouver que vous avez le droit d'annoncer une route. Vous annoncez simplement, et Internet achemine le trafic vers vous.

C'est important car BGP est la façon dont chaque paquet trouve sa destination sur Internet. Lorsque vous chargez une page web, le routeur de votre FAI consulte les tables BGP pour déterminer le chemin vers le serveur. Si quelqu'un injecte une fausse route, votre trafic part ailleurs — vers un réseau qui peut le lire, le modifier ou simplement le laisser tomber.

Les détournements BGP se produisent régulièrement. Pakistan Telecom a mis YouTube hors ligne pendant deux heures en 2008 en annonçant accidentellement une meilleure route. Rostelecom en Russie a brièvement intercepté le trafic d'Amazon, Google, Akamai et 200 autres fournisseurs en 2020. Un FAI biélorusse a détourné l'espace IP de Cloudflare en 2021. La plupart des incidents sont des erreurs de configuration accidentelles, mais des acteurs étatiques ont démontré leur capacité à le faire intentionnellement.

Ce que RPKI est censé résoudre

L'infrastructure à clé publique des ressources — RPKI — est un cadre cryptographique qui permet aux détenteurs d'adresses IP de signer des enregistrements appelés Route Origin Authorizations (ROA). Une ROA indique, en termes cryptographiques : « AS 64500 est autorisé à annoncer le préfixe 198.51.100.0/24 ». Si quelqu'un d'autre annonce ce même préfixe, les réseaux qui ont activé la validation RPKI peuvent constater que l'annonce ne correspond à aucune ROA valide et la rejeter.

Les cinq registres internet régionaux — ARIN (Amérique du Nord), RIPE NCC (Europe/Moyen-Orient), APNIC (Asie-Pacifique), LACNIC (Amérique latine) et AFRINIC (Afrique) — proposent tous des services RPKI. La création de ROA est gratuite. L'infrastructure cryptographique est déjà en place.

Le problème est que RPKI nécessite deux étapes pour arrêter réellement les détournements. Premièrement, les détenteurs d'adresses doivent créer des ROA. Deuxièmement, les FAI et les opérateurs réseau doivent configurer leurs routeurs pour rejeter les annonces qui échouent à la validation (c'est ce qu'on appelle la validation d'origine, ou RPKI-ROV). Les deux parties doivent être effectives pour que la protection fonctionne.

Où en est l'adoption

Début 2026, environ 50 à 55 % des préfixes IPv4 routés dans le monde ont des ROA valides — leurs détenteurs les ont signés avec RPKI. C'est une progression par rapport à environ 20 % en 2020, ce qui représente un réel progrès. Mais la création de ROA n'est que la moitié de l'équation.

La validation d'origine — le filtrage qui rejette réellement les mauvaises routes — est déployée sur beaucoup moins de réseaux. NIST estime qu'environ 30 à 35 % des réseaux de niveau 1 et 2 appliquent actuellement RPKI-ROV. Les grands opérateurs américains (AT&T, Verizon, Lumen/CenturyLink) ont été lents. Les opérateurs européens, en particulier ceux connectés à RIPE NCC, ont des taux d'adoption plus élevés. Certains grands CDN comme Cloudflare et Fastly l'appliquent. La plupart des FAI régionaux et des réseaux d'entreprise ne le font pas.

Ce que cela signifie : même si votre ROA indique que vous possédez un préfixe, une partie importante de l'infrastructure internet acceptera toujours une annonce détournée de ce préfixe provenant de quelqu'un d'autre. La protection est partielle, pas universelle.

Pourquoi cela prend-il autant de temps

Les raisons de la lenteur de l'adoption sont principalement opérationnelles et économiques, pas techniques. Configurer RPKI-ROV sur les routeurs d'un opérateur nécessite de modifier la politique de routage sur chaque point d'échange et chaque routeur frontalier. Une ROA mal configurée peut rendre un réseau légitime inaccessible — le remède devient la cause de la panne. Les grands FAI qui transportent des centaines de milliers de routes sont compréhensiblement nerveux à l'idée d'activer un filtrage qui pourrait accidentellement supprimer du trafic valide.

Il y a aussi un problème d'incitation. Le coût d'un détournement BGP pèse sur le réseau victime. Le travail de déploiement de RPKI-ROV incombe à tous les autres réseaux. Pour un FAI individuel, le calcul a toujours été : l'effort est pour moi, le bénéfice est diffus. C'est un problème classique de coordination.

Les régulateurs commencent à réagir. La Cybersecurity and Infrastructure Security Agency (CISA) américaine et la FCC ont publié des directives encourageant le déploiement de RPKI parmi les opérateurs américains, et les principes « Secure by Design » de la CISA mentionnent explicitement la sécurité BGP. La directive européenne NIS2, entrée en vigueur en 2024, exige des opérateurs de services essentiels qu'ils mettent en œuvre des mesures de sécurité BGP — bien que l'application soit encore inégale entre les États membres.

Au-delà de RPKI : ce qu'il faut pour sécuriser vraiment le routage

RPKI-ROV ne valide que l'origine d'une route — le premier AS qui l'annonce. Il ne valide pas le chemin complet qu'emprunte une annonce de route. Une solution plus complète appelée BGPsec ajoute des signatures cryptographiques à chaque étape du chemin, mais elle nécessite que chaque AS sur le chemin la supporte et a des implications de performance significatives pour le matériel des routeurs. Le déploiement est pratiquement nul.

Un juste milieu appelé ASPA (Autonomous System Provider Authorization) a été normalisé par l'IETF en 2024. ASPA permet aux réseaux de signer des enregistrements indiquant quels AS sont leurs fournisseurs amont. Cela permet de détecter et de rejeter une classe de fuites de routes que RPKI-ROV ne détecte pas — notamment les cas où un réseau annonce accidentellement ses routes client à ses autres fournisseurs. ASPA suscite de l'intérêt mais en est au tout début du déploiement.

La réalité sous-jacente est que la sécurité du routage internet est un problème d'action collective. Elle exige que la majorité des réseaux significatifs changent simultanément leurs pratiques opérationnelles pour être pleinement efficace. RPKI a fait de réels progrès ces cinq dernières années — la trajectoire est positive — mais au rythme actuel, un acteur étatique déterminé ou un routeur de niveau 1 mal configuré peut encore rediriger le trafic internet mondial. La solution technique existe. L'écart de déploiement est le problème.

cybersecuritynetworkinginternet-securityroutingBGPRPKI
Partager:
Le détournement BGP continue de casser l'internet — et RPKI est le correctif que la plupart des FAI n'ont pas encore déployé | IRCNF - Intelligent Reliable Custom Next-gen Frameworks