BGP a 35 ans et maintient encore Internet ensemble — Voici pourquoi c'est un problème
En 1989, deux ingénieurs lors d'une réunion ont esquissé un protocole de routage sur des serviettes en papier. Le protocole — le Border Gateway Protocol, ou BGP — était censé être une solution rapide au problème croissant de la manière dont les réseaux indépendants devraient se dire où envoyer le trafic. Il était fonctionnel, pragmatique et presque totalement dépourvu de sécurité. Il est désormais le fondement de l'Internet mondial, et ce depuis 35 ans.
BGP n'est pas un logiciel avec lequel la plupart des gens interagissent. C'est le protocole qui s'exécute entre les routeurs aux extrémités de chaque réseau majeur — chaque fournisseur d'accès Internet, chaque fournisseur de cloud, chaque entreprise disposant de son propre espace d'adresses IP. Lorsque vous chargez une page web, BGP garantit que votre requête traverse la bonne séquence de réseaux pour atteindre le bon serveur. Sans lui, Internet est un ensemble d'îles isolées. Avec lui, c'est un espace d'adressage unique et accessible d'environ 4,3 milliards d'adresses IPv4.
Comment BGP fonctionne réellement
Internet est organisé en Systèmes Autonomes (ASes) — des réseaux indépendants exploités par une seule organisation. Votre FAI est un AS. Amazon Web Services est un AS. Une université avec sa propre infrastructure réseau est un AS. Chaque AS a un numéro (un ASN, attribué par les registres Internet régionaux) et un ensemble de préfixes IP — des plages d'adresses qu'il contrôle.
BGP est le protocole que les ASes utilisent pour annoncer leurs préfixes à leurs voisins et apprendre les routes des autres. Lorsque AS-A veut atteindre un préfixe appartenant à AS-Z, il s'appuie sur une chaîne d'annonces BGP : le routeur d'AS-A sait qu'AS-B a une route vers AS-Z, AS-B sait qu'AS-C en a une, et ainsi de suite. Le protocole est basé sur la confiance : lorsqu'un AS annonce « j'ai une route vers ces adresses IP », les ASes voisins acceptent cette annonce et la propagent plus loin. Il n'y a pas de vérification cryptographique. Il n'y a pas d'autorité centrale. Si un AS annonce un préfixe qu'il ne possède pas, l'annonce se propage globalement.
C'est un détournement de BGP. Et cela arrive régulièrement.
Échecs célèbres
En 2010, China Telecom a annoncé environ 15% des routes Internet mondiales via son réseau pendant environ 18 minutes. Le trafic destiné aux sites militaires américains, à Dell, IBM et à des centaines d'autres organisations a été brièvement routé via l'infrastructure chinoise. L'incident était probablement accidentel — une mauvaise configuration plutôt qu'une interception délibérée — mais il a démontré l'ampleur de l'exposition.
En 2019, un petit fournisseur d'accès Internet en Pennsylvanie a accidentellement annoncé 20 000 routes qu'il ne possédait pas, provoquant le routage du trafic d'Amazon, Cloudflare, Facebook et bien d'autres via un réseau avec une capacité insuffisante. Le résultat : des ralentissements et des pannes généralisées affectant des millions d'utilisateurs pendant plusieurs heures.
En 2021, l'erreur de configuration BGP de Facebook elle-même — combinée à une panne DNS — a mis hors ligne tous les services de Facebook (Facebook, Instagram, WhatsApp) pendant six heures. Le retrait des préfixes BGP de Facebook signifiait que même si le DNS avait fonctionné, le trafic ne pouvait pas atteindre son infrastructure. La restauration du service a nécessité un accès physique des ingénieurs au matériel du centre de données car les outils de gestion à distance normaux ne pouvaient pas non plus se connecter.
Le schéma de ces incidents est cohérent : le modèle de confiance de BGP signifie que les erreurs et les annonces malveillantes se propagent à la vitesse d'Internet, et les corrections prennent du temps pour filtrer à travers des centaines de systèmes autonomes.
RPKI : La correction qui prend des décennies à déployer
L'infrastructure à clé publique de ressources (RPKI) est le cadre cryptographique conçu pour résoudre le problème de confiance de BGP. RPKI permet aux détenteurs d'adresses IP de créer des certificats signés numériquement — des autorisations d'origine de route (ROA) — qui affirment cryptographiquement quels ASes sont autorisés à annoncer quels préfixes. Un routeur effectuant la validation RPKI peut rejeter les annonces qui n'ont pas de ROA valide, fermant la porte à la plupart des scénarios de détournement.
RPKI est techniquement disponible depuis le début des années 2010. L'adoption a été lente pour des raisons structurelles : chaque réseau doit faire deux choses — signer ses propres préfixes (validation d'origine) et valider les annonces des pairs (validation d'origine de route). La deuxième étape ne fournit une protection qu'à proportion du nombre de réseaux effectuant la première. C'est un problème de coordination à l'échelle d'Internet.
Les progrès se sont accélérés. En 2026, environ 40% de la table de routage mondiale est couverte par des ROA valides. Les grands réseaux — Cloudflare (qui a été le défenseur le plus vocal de RPKI), AT&T, Comcast, Deutsche Telekom et la plupart des grands fournisseurs de cloud — appliquent désormais la validation RPKI sur leurs liens de peering. MANRS (Normes mutuellement convenues pour la sécurité du routage) suit la conformité, et le pourcentage de réseaux conformes à MANRS a considérablement augmenté depuis 2022.
Les 60% restants de la table de routage constituent une longue traîne tenace. Les petits FAI et les réseaux régionaux manquent souvent de ressources d'ingénierie pour mettre en œuvre RPKI, ou disposent d'équipements hérités qui ne le supportent pas. Certains ont des raisons commerciales d'éviter le filtrage de routes (le filtrage peut affecter les revenus de peering). Le problème est concentré dans les régions en développement où la modernisation des FAI est la plus lente.
Au-delà de RPKI : BGPsec et validation de chemin
RPKI résout la validation d'origine — confirmer que l'AS annonçant un préfixe est autorisé à le faire. Il ne résout pas la validation de chemin — confirmer que le chemin AS dans une annonce BGP reflète avec précision le chemin réel que le trafic empruntera. Une attaque (ou une mauvaise configuration) plus sophistiquée peut encore injecter de fausses informations de chemin AS même avec RPKI en place.
BGPsec est la solution proposée : une signature cryptographique complète de l'ensemble du chemin AS pour chaque annonce de route. Il fournirait des garanties de sécurité beaucoup plus solides. Il nécessiterait également que chaque routeur sur le chemin prenne en charge et effectue la validation BGPsec, créerait une surcharge de calcul significativement plus élevée et nécessiterait une mise à niveau coordonnée à l'échelle mondiale de l'infrastructure de routage. Le consensus parmi les ingénieurs réseau est que BGPsec est trop coûteux à déployer à l'échelle d'Internet à court terme.
La feuille de route pratique est la suivante : terminer le déploiement de RPKI pour la validation d'origine (les 5 prochaines années), puis évaluer la sécurité des chemins de manière incrémentielle en utilisant un mélange de politiques de filtrage de routes, de RPKI et d'infrastructure de surveillance. Des organisations comme le RIPE NCC et l'ARIN publient des tableaux de bord de surveillance BGP en temps réel qui permettent aux opérateurs de détecter les détournements en quelques minutes au lieu des heures que cela prenait auparavant.
Ce que cela signifie pour la fiabilité
La fragilité de BGP est structurelle, pas accidentelle. Le protocole a été conçu pour un Internet différent — un Internet avec un petit nombre de participants de confiance reliant des universités et des instituts de recherche. La décision de l'étendre à une infrastructure commerciale mondiale avec des centaines de milliers de participants, dont beaucoup ont des incitations adverses, n'a jamais été un choix de conception délibéré. Cela s'est produit par défaut, car il n'y avait pas d'alternative prête lorsque l'Internet avait besoin de passer à l'échelle.
L'Internet a vécu avec ce compromis pendant 35 ans. Le déploiement lent de RPKI représente le premier effort systématique pour ajouter des propriétés de sécurité à un protocole qui n'a jamais été conçu pour en avoir. Cela fonctionne — les incidents de détournement de BGP qui font la une aujourd'hui sont plus rares et de plus courte durée qu'en 2015 ou 2019, car davantage de réseaux rejettent désormais automatiquement les annonces de route invalides. Mais « moins fréquent » et « rare » ne sont pas la même chose que « résolu », et pour une infrastructure qui transporte le commerce mondial, les dossiers de santé et les communications, l'écart entre ces deux états compte toujours.