Puis-je détecter un détournement BGP sur mon réseau domestique ?

Pas directement. Le détournement est en amont ; votre trafic circule vers la mauvaise destination, mais vous ne le remarquerez que si la destination se comporte mal (avertissements de certificat, services inconnus). HTTPS rend la plupart des détournements visibles via les erreurs TLS ; Les services purement IP sont plus difficiles à détecter.

RPKI empêche-t-il tous les détournements BGP ?

Il empêche les détournements d'origine (faux AS à l'origine d'un préfixe). Cela n'empêche pas les attaques d'usurpation de chemin lorsque le chemin AS est falsifié. Le RPKI est la défense pratique contre le type d’attaque le plus courant ; BGPsec fermerait le reste mais n'est pas déployé.

À quelle fréquence le détournement BGP se produit-il ?

De petits incidents se produisent quotidiennement : la plupart sont des erreurs de configuration plutôt que des attaques. Les incidents majeurs affectant un trafic important sont plus rares (une poignée par an). La capacité de détection s’est améliorée, de sorte que des incidents qui seraient passés inaperçus en 2010 seront rendus publics en 2024.

Un petit FAI peut-il provoquer une panne mondiale ?

Oui, avec un mauvais filtrage chez les fournisseurs en amont. La plupart des grands transporteurs filtrent désormais les annonces des clients en fonction des itinéraires attendus ; un amont mal configuré qui ne filtre pas peut laisser les erreurs d'un petit FAI se propager à l'échelle mondiale. De meilleures pratiques de filtrage ont réduit mais pas éliminé ce risque.

Les ordinateurs quantiques briseront-ils la signature BGP ?

RPKI utilise des signatures RSA, qui sont en principe vulnérables quantiquement. La migration vers des signatures post-quantiques est une préoccupation future mais pas urgente : les ordinateurs quantiques suffisamment grands pour casser les clés RPKI n'existent pas encore. Le calendrier de déploiement du RPKI laisse suffisamment de place pour migrer avant que cela ne devienne urgent.

Le piratage BGP expliqué : quand le routage d'Internet ment

Le détournement BGP se produit lorsqu'un réseau annonce faussement la propriété d'adresses IP qu'il ne contrôle pas. Le protocole de routage d'Internet les croit, le trafic se dirige vers la mauvaise destination et les conséquences vont des pannes accidentelles à la surveillance délibérée. Le correctif – RPKI – a progressé mais n'est pas terminé. Cette catégorie reste une menace d’infrastructure de premier plan.

Le corps complet de l’article est fourni en anglais ci-dessous.

Détournement

BGP est l'attaque (ou l'accident) où un système autonome annonce la propriété de préfixes IP qui ne lui appartiennent pas. Les routeurs BGP du monde entier acceptent l'annonce (car le BGP traditionnel n'a pas d'authentification) et commencent à acheminer le trafic pour ces préfixes vers le pirate de l'air. Les dommages peuvent inclure des pannes de service, une interception de trafic et un vol d'informations d'identification.

Comment ça marche

BGP est le protocole qui propage les routes Internet entre les AS — voir notre article BGP. Le flux simplifié :

L'AS du pirate de l'air annonce "J'ai une route vers le préfixe X." Les routeurs
BGP reçoivent l'annonce et la comparent à d'autres routes qu'ils connaissent.
Si l'annonce du pirate de l'air est plus spécifique (préfixe plus long) ou a un chemin AS plus court, les routeurs préfèrent it.
TLe trafic destiné au préfixe X circule désormais via l'AS du pirate de l'air.
Le pirate de l'air peut noircir le trafic (déni de service), le surveiller (surveillance), le modifier (homme du milieu) ou le transmettre de manière transparente tout en collectant des métadonnées.

Le problème au niveau du protocole : BGP accepte traditionnellement quiconque annonce le plus fort. Il n'y a aucune validation que l'annonceur possède réellement le préfixe.

Types de piratage BGP

Origin hijack. AS X annonce un préfixe appartenant à AS Y. Le plus courant. Mauvaises configurations souvent accidentelles.
Détournement de préfixe. Annonce d'un sous-ensemble plus spécifique du préfixe de quelqu'un d'autre. Gagne les décisions de routage car des itinéraires plus spécifiques sont préférés.
Path hijack. Annonce d'un chemin AS falsifié. Plus subtil; plus difficile à détecter.
Blackholing. Annonce d'un préfixe pour absorber le trafic et le supprimer. Utilisé à la fois de manière malveillante (DoS) et défensivement (atténuation DDoS).
Détournement de sous-préfixe avec MITM. Routage du trafic détourné vers sa destination réelle après observation/modification. La variante la plus dommageable.

Incidents célèbres

Pakistan/YouTube (2008). Pakistan Telecom a tenté de bloquer YouTube au niveau national en annonçant localement un préfixe YouTube plus spécifique. L'annonce a été divulguée au fournisseur en amont et s'est propagée à l'échelle mondiale. YouTube est devenu sombre pendant environ 2 heures dans le monde entier.
China Telecom (2010). a annoncé 15 % de toutes les routes Internet pendant 18 minutes. Perturbation importante de la circulation ; possible collecte de renseignements.
Indosat (2014). 320 000 préfixes détournés pendant plusieurs heures.
Réacheminement russe (2017). Les FAI russes ont brièvement détourné les routes vers les principales technologies et finances occidentales sites.
Divers détournements BGP ciblant la crypto-monnaie. Détournements coordonnés redirigeant le trafic vers des pages de phishing de portefeuille crypto, ne durant parfois que quelques minutes mais drainant des fonds importants.
KlayMaker / KlaySwap (2022). Échange crypto coréen piraté via BGP, ~ 2 millions de dollars volé.
Twitter/X 2024. Brièvement détourné par un fournisseur russe, le trafic a transité par la Russie pendant quelques heures.

Les accidents et les attaques délibérées sont difficiles à distinguer. L'incident de YouTube au Pakistan était un accident ; d'autres étaient presque certainement une collecte de renseignements intentionnelle.

RPKI : le correctif partiel

RPKI (Resource Public Key Infrastructure) permet aux détenteurs d'adresses de déclarer cryptographiquement quels AS sont autorisés à annoncer leurs préfixes. Les routeurs configurés pour valider les annonces de rejet RPKI qui ne correspondent pas à une autorisation d'origine de route (ROA) valide. Déploiement

RPKI à partir de 2026 :

Maleurs opérateurs de niveau 1 (Lumen, NTT, Telia, Cogent, Tata) valident tous RPKI sur leurs routes destinées aux clients. les préfixes routés ont des ROA valides.
Adoption a augmenté régulièrement mais la moitié non signée reste exposée.
RPKI détecte les détournements d'origine (l'attaque la plus courante) ; il ne détecte pas les attaques d'usurpation de chemin lorsque le chemin AS est falsifié.

BGPsec : le correctif le plus important qui ne s'est pas produit

BGPsec (RFC 8205, 2017) était l'extension proposée qui signe cryptographiquement le chemin AS, vainquant les attaques d'usurpation de chemin. L'adoption a été pratiquement nulle parce que :

Performance — la signature de chaque mise à jour de route nécessite un processeur important sur chaque routeur parlant BGP.
Mémoire — un état supplémentaire par route augmente considérablement les besoins en mémoire du routeur.
Compatibilité — le déploiement partiel n'apporte aucun avantage ; nécessite une adoption quasi universelle.

BGPsec est la solution cryptographiquement complète que la communauté opérationnelle ne peut pas se permettre de déployer. RPKI est la solution partielle mais déployable que la communauté adopte progressivement. Stat / RIS

Cloudflare Radar

Observatoire MANRS de l'Internet Society

Pour les organisations exploitant leurs propres préfixes, les alertes automatisées sur les « AS inattendus provenant de mon préfixe » constituent la défense pratique. Certains détenteurs de préfixes mettent également en œuvre eux-mêmes la validation de l'origine BGP et rejettent les annonces suspectes.

Ce que les individus peuvent faireLe détournement

BGP est principalement une menace au niveau de la couche infrastructure. Les utilisateurs individuels ne peuvent pas s'en défendre directement. L'atténuation réaliste : le chiffrement de bout en bout (HTTPS, messagerie E2E) rend la plupart des écoutes clandestines basées sur BGP inefficaces. Le pirate de l'air voit le trafic chiffré et apprend les destinations mais pas le contenu.

Pour le trafic à enjeux élevés, les approches multi-chemins et l'authentification de bout en bout (mTLS, épinglage de certificat, FIDO2) limitent les résultats du piratage.

Questions fréquemment posées

Puis-je détecter un détournement BGP sur mon réseau domestique ?: Pas directement. Le détournement est en amont ; votre trafic circule vers la mauvaise destination, mais vous ne le remarquerez que si la destination se comporte mal (avertissements de certificat, services inconnus). HTTPS rend la plupart des détournements visibles via les erreurs TLS ; Les services purement IP sont plus difficiles à détecter.
RPKI empêche-t-il tous les détournements BGP ?: Il empêche les détournements d'origine (faux AS à l'origine d'un préfixe). Cela n'empêche pas les attaques d'usurpation de chemin lorsque le chemin AS est falsifié. Le RPKI est la défense pratique contre le type d’attaque le plus courant ; BGPsec fermerait le reste mais n'est pas déployé.
À quelle fréquence le détournement BGP se produit-il ?: De petits incidents se produisent quotidiennement : la plupart sont des erreurs de configuration plutôt que des attaques. Les incidents majeurs affectant un trafic important sont plus rares (une poignée par an). La capacité de détection s’est améliorée, de sorte que des incidents qui seraient passés inaperçus en 2010 seront rendus publics en 2024.
Un petit FAI peut-il provoquer une panne mondiale ?: Oui, avec un mauvais filtrage chez les fournisseurs en amont. La plupart des grands transporteurs filtrent désormais les annonces des clients en fonction des itinéraires attendus ; un amont mal configuré qui ne filtre pas peut laisser les erreurs d'un petit FAI se propager à l'échelle mondiale. De meilleures pratiques de filtrage ont réduit mais pas éliminé ce risque.
Les ordinateurs quantiques briseront-ils la signature BGP ?: RPKI utilise des signatures RSA, qui sont en principe vulnérables quantiquement. La migration vers des signatures post-quantiques est une préoccupation future mais pas urgente : les ordinateurs quantiques suffisamment grands pour casser les clés RPKI n'existent pas encore. Le calendrier de déploiement du RPKI laisse suffisamment de place pour migrer avant que cela ne devienne urgent.