Le système de routage de l'internet se sécurise enfin — vingt ans après les premiers grands détournements
Le 24 février 2008, Pakistan Telecom a mis YouTube hors ligne pour le monde entier. Pas avec une attaque DDoS, pas avec une ordonnance judiciaire — mais en diffusant accidentellement une route plus spécifique pour l'espace IP de YouTube. En quelques minutes, le trafic destiné à YouTube.com a été redirigé vers le réseau de Pakistan Telecom et a disparu dans le vide. La panne a duré deux heures.
L'incident n'était pas unique. C'était une démonstration classique de pourquoi le Border Gateway Protocol — le système de routage qui sous-tend tout l'internet — est fondamentalement peu sécurisé. Quinze ans plus tard, les ingénieurs s'y attaquent enfin sérieusement.
Le problème de BGP
BGP est le protocole que les systèmes autonomes (AS) — les réseaux exploités par les FAI, les fournisseurs cloud, les universités et les entreprises — utilisent pour annoncer la joignabilité. Lorsque votre trafic voyage d'une partie de l'internet à une autre, il saute entre ces systèmes autonomes selon les tables de routage BGP. Le problème est que BGP a été conçu en 1989 avec une hypothèse simple : que tous les participants sont honnêtes.
N'importe quel réseau peut annoncer qu'il possède un espace IP qu'il ne possède pas en réalité. Les autres routeurs n'ont aucun moyen de vérifier cela sans infrastructure de validation externe. Le résultat est le détournement de routes — soit accidentel (mauvaises configurations, erreurs de frappe) soit délibéré (interception de trafic, surveillance, déni de service).
Les incidents s'accumulent année après année. En 2010, China Telecom a brièvement annoncé des routes pour 15% de l'espace d'adressage de l'internet, redirigeant le trafic via les réseaux chinois pendant 18 minutes. En 2018, le trafic des services Google a été détourné via le Nigeria. En 2020, Rostelecom a détourné plus de 8 800 préfixes appartenant à Amazon, Google, Cloudflare et Akamai — affectant environ 200 organisations.
RPKI : des ancres cryptographiques pour le routage
Resource Public Key Infrastructure (RPKI) est la solution la plus mature de l'industrie pour la validation de l'origine des routes BGP. Le concept est simple : les détenteurs d'adresses IP créent des enregistrements signés numériquement — appelés Route Origin Authorizations (ROA) — qui attestent cryptographiquement quel numéro de système autonome est autorisé à annoncer un préfixe IP donné.
Quand un routeur reçoit une mise à jour BGP, il peut la vérifier par rapport au dépôt RPKI. Si un réseau annonce un préfixe qu'il n'est pas autorisé à annoncer, la route est marquée 'RPKI Invalid' et peut être rejetée. La chaîne cryptographique remonte jusqu'aux registres internet régionaux (ARIN, RIPE NCC, APNIC, LACNIC, AFRINIC) — les bases de données faisant autorité sur l'allocation des adresses IP.
La technologie elle-même est normalisée depuis 2012 via une série de RFC IETF. Ce qui a changé récemment, c'est le déploiement à grande échelle. Début 2026, plus de 50% de la table de routage mondiale dispose d'une couverture ROA valide — un seuil qui était considéré comme un objectif ambitieux il y a seulement trois ans. Les grands IXP, dont AMS-IX, DE-CIX et LINX, imposent désormais le filtrage RPKI. Cloudflare, AWS, Azure, Google et les principaux opérateurs de niveau 1 ont tous déployé la validation d'origine.
MANRS : la couche sociale de la sécurité du routage
RPKI résout le problème technique de prouver qui possède quoi. MANRS — Mutually Agreed Norms for Routing Security — s'attaque au problème de coordination pour que les réseaux l'implémentent réellement.
Lancé par l'Internet Society en 2014, MANRS est un cadre de quatre actions : filtrage (n'accepter que les routes légitimes), anti-spoofing (empêcher la falsification des adresses IP sources), coordination (maintenir des coordonnées précises pour la réponse aux incidents) et validation globale (implémenter RPKI). En 2026, plus de 1 000 réseaux ont rejoint MANRS, y compris les plus grands fournisseurs cloud et les FAI.
L'incitation commerciale s'aligne progressivement. Les grands fournisseurs cloud et les entreprises exigent de plus en plus la participation MANRS de la part de leurs FAI comme critère d'approvisionnement. L'intérêt réglementaire croît également — l'enquête de la FCC en 2024 sur la sécurité BGP a averti les FAI que l'adoption volontaire pourrait ne pas le rester indéfiniment.
Ce que RPKI ne résout pas
RPKI valide les origines des routes — que AS64496 annonce légitimement 192.0.2.0/24. Ce qu'il ne peut pas valider, c'est le chemin que prend le trafic pour y arriver. BGPsec, une extension plus ambitieuse qui signe cryptographiquement l'intégralité du chemin AS, a été normalisé mais fait face à un problème de déploiement de type 'poule et œuf' : cela ne fonctionne que si la plupart du chemin le supporte, donc les premiers adoptants n'y voient aucun avantage. Le déploiement incrémental est quasiment impossible.
Les détournements de routes impliquant le système autonome d'origine légitime (mais manipulant le chemin en aval) restent invisibles pour RPKI. Et même avec RPKI, un routeur configuré pour accepter les routes 'RPKI Invalid' — peut-être pour des raisons de compatibilité héritée — ne fournit aucune protection. La technologie n'est aussi solide que l'application cohérente.
Ce que cela signifie pour les entreprises
Les organisations disposant de leur propre espace d'adressage IP — généralement les entreprises assez grandes pour détenir un ASN — devraient créer des ROA pour chaque préfixe qu'elles annoncent. Le processus prend des heures, pas des semaines, et consiste à créer des enregistrements via le portail de votre registre internet régional. Ne pas le faire signifie qu'une mauvaise configuration de n'importe quel FAI en amont pourrait accidentellement faire ressembler votre espace IP à une route plus spécifique, détournant votre trafic sans base cryptographique pour le contester.
Pour les entreprises sans leur propre ASN, la question est de savoir si votre FAI a déployé le filtrage RPKI pour vous. La plupart des fournisseurs de niveau 1 le font maintenant ; les FAI de transit varient. Le validateur RPKI de Cloudflare et le moniteur RPKI de RIPE proposent des tableaux de bord publics pour vérifier si vos préfixes sont correctement couverts.
Le système de routage de l'internet ne sera pas entièrement sécurisé par RPKI seul — BGPsec et la validation de chemin restent des problèmes ouverts. Mais après deux décennies d'incidents de détournement de routes et d'inaction volontaire, la base cryptographique est enfin posée. L'incident Pakistan Telecom de 2008 serait nettement plus difficile à réaliser aujourd'hui. Les progrès sont réels, même si le travail n'est pas terminé.