IRCNF
Internet & Network

BGP Hijacking reste une faille structurelle du routage Internet — l’adoption de RPKI est la solution

Partager:
BGP Hijacking reste une faille structurelle du routage Internet — l’adoption de RPKI est la solution

Le protocole qui fait tourner Internet n'a aucune authentification intégrée

Chaque fois que vous chargez un site web, votre trafic traverse des dizaines de systèmes autonomes gérés par les FAI, les fournisseurs cloud et les entreprises. Ces réseaux échangent des informations de routage via BGP, un protocole conçu en 1989 sans authentification cryptographique. Quand un réseau annonce posséder un bloc d'adresses IP, tous les autres le croient sans vérification.

Ce déficit structurel a produit des décennies d'incidents. En avril 2010, China Telecom a brièvement détourné les routes de 15 % du trafic Internet mondial pendant 18 minutes. En 2018, des attaquants ont détourné les routes BGP des résolveurs DNS Amazon Route 53 pour voler 152 000 $ en Ethereum. CAIDA a recensé plus de 1 700 événements de détournement BGP confirmés en 2023.

RPKI : validation cryptographique des routes depuis 2012

Resource Public Key Infrastructure (RPKI), normalisée dans la RFC 6480 (2012), lie la propriété des adresses IP à des certificats cryptographiques. Les opérateurs réseau créent des Route Origin Authorizations (ROA) — des attestations signées confirmant quel système autonome est légitime pour un préfixe. Une étude 2023 de NIST et de l'Université du Maryland a montré que les réseaux appliquant le contrôle ROV RPKI rejetaient 95 % des tentatives de détournement testées.

Adoption en 2026

En mai 2026, environ 47 % des préfixes IPv4 routés mondialement portent des ROA valides. L'adoption du contrôle (ROV) concerne environ 35 % des systèmes autonomes. AWS, Google Cloud, Microsoft Azure et Cloudflare appliquent tous RPKI. Les retardataires sont principalement les FAI régionaux en Asie du Sud‑Est, en Amérique latine et en Afrique. La directive NIS2 de l'UE (octobre 2024) liste explicitement la sécurité BGP, y compris RPKI, comme contrôle technique requis pour les opérateurs de réseau essentiels.

Au‑delà de RPKI : ASPA pour la validation du chemin

RPKI valide les origines de route mais pas le chemin AS. BGPsec, la solution théorique de chemin complet, a un déploiement quasi nul. Autonomous System Provider Authorization (ASPA) gagne en traction plus rapidement — RIPE NCC a intégré la création d'ASPA en 2025, et les grands FAI européens la déploient. ASPA capte les fuites de routes que le RPKI pur ne peut pas attraper.

Recommandations pratiques

  • Créez des ROA via votre portail RIR dès maintenant — l'interface de RIPE NCC est la plus intuitive.
  • Activez le contrôle ROV sur les routeurs de bordure avec Routinator, OctoRPKI ou le validateur de NLnet Labs.
  • Rejoignez MANRS (manrs.org) — plus de 900 réseaux participants en mai 2026.
  • Auditez les dates d'expiration des ROA et automatisez la surveillance pour éviter la pourriture des ROA (ROA rot).
  • Surveillez le développement d'ASPA si votre organisation a des relations de peering complexes.
BGPRPKIrouting securityinternet infrastructurenetwork-security
Partager:
BGP Hijacking reste une faille structurelle du routage Internet — l’adoption de RPKI est la solution | IRCNF - Intelligent Reliable Custom Next-gen Frameworks