BGP n’est-il toujours pas sûr ?

 (isbgpsafeyet.com)
2 points par GN⁺ 2026-04-03 | 1 commentaires | Partager sur WhatsApp
  • BGP (Border Gateway Protocol), le protocole de routage central d’Internet, est chargé de la sélection des routes, mais n’intègre pas de mécanisme natif de vérification de sécurité
  • En conséquence, si des informations de routage erronées sont propagées, cela peut provoquer un détournement de trafic ou des pannes de grande ampleur ; pour s’en prémunir, RPKI (Resource Public Key Infrastructure) a été introduit
  • RPKI vérifie cryptographiquement l’authenticité des routes, ce qui permet de qualifier les routes incorrectes d’invalid et de les bloquer
  • Cloudflare suit et publie l’état d’adoption de RPKI chez les principaux FAI et opérateurs de transit du monde, et certains opérateurs restent encore dans un état unsafe
  • L’Internet ne pourra bénéficier d’un routage sûr que lorsque tous les grands opérateurs réseau auront pleinement déployé RPKI et le filtrage

BGP n’est-il toujours pas sûr ?

  • Border Gateway Protocol (BGP) est le « service postal » d’Internet : il choisit la meilleure route parmi celles que les données peuvent emprunter
  • Mais comme aucune fonction de sécurité n’y est intégrée, la propagation d’informations de routage erronées peut entraîner des pannes Internet massives ou un détournement de trafic
  • Pour résoudre ce problème, l’introduction d’un système d’authentification appelé Resource Public Key Infrastructure (RPKI) permet de vérifier l’authenticité des routes
  • Plusieurs FAI mondiaux et opérateurs de transit déploient RPKI, et Cloudflare en assure le suivi public
  • Le routage Internet ne pourra devenir sûr que si tous les grands opérateurs réseau adoptent RPKI

Dernières mises à jour

  • Le 3 février 2026, l’opérateur mondial de transit Tier-1 Sparkle (AS6762) a rejeté les préfixes RPKI-invalid
  • Le 1er octobre 2025, le principal opérateur de transit slovaque Energotel (AS31117) a commencé à filtrer les routes RPKI-invalid
  • Le 28 août 2025, le grand FAI canadien Bell Canada (AS577) a mis en place le filtrage des routes RPKI-invalid dans son réseau
  • Le 22 février 2024, Deutsche Telekom (AS3320), l’un des plus grands FAI d’Europe, a appliqué la validation d’origine RPKI à son réseau mondial
  • Le 24 janvier 2024, Verizon (AS701), aux États-Unis, a complètement déployé la validation d’origine RPKI sur l’ensemble de son réseau

État des principaux opérateurs

  • Cloudflare publie l’état de signature RPKI et de filtrage de 31 grands opérateurs
  • De grands opérateurs de transit comme Lumen, Arelion, Cogent, NTT, Sparkle, Hurricane Electric, GTT, TATA, Zayo, Vodafone sont tous en état safe
  • De grands FAI comme Comcast, AT&T, Verizon, Deutsche Telekom, KPN, Swisscom, Bell Canada ont également terminé la signature et le filtrage
  • Certains opérateurs (Google, IIJ, OCN, Vivacom, etc.) ne les ont déployés que partiellement et sont classés partially safe
  • China Telecom, KT, SK Broadband, TurkTelekom, Vodafone DE, PLDT, IBM Cloud, OVH, etc. restent encore en état unsafe

Qu’est-ce que le détournement BGP ?

  • Internet est une architecture réseau distribuée composée de milliers de systèmes autonomes (AS)
  • Chaque nœud détermine sa route uniquement à partir des informations reçues des nœuds auxquels il est directement connecté
  • Le détournement BGP consiste pour un nœud malveillant à diffuser de fausses informations de routage afin d’intercepter le trafic
  • En l’absence de protocole de sécurité, ces mauvaises informations peuvent se propager à l’échelle mondiale et faire transiter les données par de mauvaises routes
  • RPKI permet, grâce à une vérification cryptographique, de rendre ces routes invalides et de les bloquer

Le rôle de RPKI

  • RPKI (Resource Public Key Infrastructure) est un framework de sécurité qui relie et vérifie cryptographiquement les routes et les systèmes autonomes
  • Comme il est impossible de vérifier manuellement plus de 800 000 routes Internet, RPKI automatise cette tâche
  • Une fois RPKI activé, même si des informations de routage erronées sont propagées, les routeurs les qualifient d’invalid et les rejettent
  • Le blog de Cloudflare explique en détail le fonctionnement de RPKI et des cas de déploiement

Pourquoi BGP n’est pas sûr

  • Par défaut, BGP n’intègre aucun protocole de sécurité
  • Chaque système autonome doit effectuer lui-même le filtrage des routes erronées
  • Les fuites de routes (route leak) surviennent à cause d’erreurs de configuration ou d’actes malveillants, et peuvent rendre une partie d’Internet inaccessible
  • Le détournement BGP peut rediriger le trafic vers d’autres systèmes et permettre le vol d’informations ou l’interception
  • Un routage sûr n’est possible que si tous les AS annoncent uniquement des routes légitimes et appliquent le filtrage

Méthode de test

  • Cloudflare propose une fonction permettant de tester si un FAI a mis en œuvre un BGP sécurisé
  • Elle annonce des routes légitimes mais délibérément marquées invalid, puis vérifie si l’utilisateur peut accéder au site web concerné
  • Si l’accès est possible, cela signifie que le FAI accepte des routes erronées

Efforts de sécurité supplémentaires

  • Les opérateurs réseau et les développeurs poursuivent des travaux de normalisation pour améliorer des protocoles de routage non sécurisés
  • Cloudflare participe à l’initiative MANRS (Mutually Agreed Norms for Routing Security)
    • MANRS est une communauté mondiale visant à renforcer l’infrastructure de routage, dont les membres s’engagent à mettre en œuvre des mécanismes de filtrage
  • Plus il y a d’opérateurs qui y participent, plus le niveau global de sécurité du routage sur Internet s’améliore

Ce que les utilisateurs peuvent faire

  • Ils peuvent partager la page isbgpsafeyet.com pour sensibiliser largement à la nécessité d’adopter RPKI
  • Ils peuvent demander à leur FAI ou à leur hébergeur d’adopter RPKI et de rejoindre MANRS
  • Il faut que les grands FAI adoptent RPKI pour que l’ensemble d’Internet devienne plus sûr
  • Cloudflare souligne le message suivant : « Quand Internet devient plus sûr, tout le monde en bénéficie »

À lire aussi

1 commentaires

 
GN⁺ 2026-04-03
Commentaires sur Hacker News

  • RPKI ne rend pas BGP complètement sûr, il le rend seulement plus sûr
    Le détournement BGP reste possible, car RPKI ne vérifie que la propriété des préfixes et ne protège pas le chemin lui-même
    Un attaquant peut toujours prétendre se trouver sur le chemin de l’AS victime et intercepter le trafic
    BGPSec, proposé pour résoudre ce problème, est généralement considéré comme difficile à déployer en pratique

    • Une proposition pour résoudre les problèmes de sécurité de BGP consiste à utiliser des Proof-Carrying Data
      Chaque message inclut une preuve cryptographique qu’il a été correctement généré, avec un temps de vérification constant quelle que soit la taille du réseau ou le nombre de sauts
      Comme BGP n’est pas critique en matière de latence et que le protocole est simple, cette approche pourrait être réaliste
      Voir l’article de rot256.dev pour plus de détails
      RPKI resterait nécessaire, mais BGPSec deviendrait inutile
    • ASPA est actuellement l’une des tentatives pour atténuer ce problème
      Il reste encore beaucoup de chemin à parcourir, mais de grandes organisations y participent
      Lien vers le brouillon IETF
    • RPKI permet de vérifier la propriété des préfixes, mais le chemin reste fondé sur la confiance
      Cela donne l’impression de ne renforcer que la partie facile à vérifier
    • Un état idéal de « sécurité » est impossible
      Au final, tous les systèmes cryptographiques dépendent de la confiance accordée à des registres ou à des institutions gérés par des humains
      RPKI vaut mieux que l’absence de RPKI, mais interpréter cela comme « c’est désormais suffisamment sûr » est risqué

  • Vu que les grands FAI américains et les opérateurs mobiles prennent en charge cette fonctionnalité, le taux d’adoption semble assez élevé
    Mais on peut se demander combien de FAI sont nécessaires pour pouvoir parler de réseau « sûr », et s’il existe des différences selon les régions

    • Si les grands FAI de transit l’appliquent tous, cela devrait probablement suffire
      Si les routes non RPKI ne peuvent pas traverser le transit, elles deviennent naturellement sans intérêt
    • En réalité, bien plus que 4 opérateurs, exactement 254, sont marqués comme « unsafe »
      Il faut cliquer sur « Show all » pour voir la liste complète
    • J’utilise Sky au Royaume-Uni, et il est marqué comme « unsafe »
      Ce serait bien d’avoir un tableau permettant de filtrer par pays et par type d’opérateur
    • T-Mobile USA est déroutant, car les résultats du test affichent à la fois réussite et échec
    • De grands opérateurs comme British Telecom, NTT Docomo, Vodafone Espana, Starlink et Rogers apparaissent eux aussi comme « unsafe »
      Dire que seulement 31 sont sûrs donne une image bien trop optimiste

  • Il y a quelque chose d’ironique dans le fait que ce site ait été créé par Cloudflare
    Ce pourrait être l’acteur le plus susceptible de casser Internet en 2026

    • De nos jours, il est courant que les entreprises mènent des campagnes pour convaincre le public dans un sens qui sert leurs intérêts
      Si RPKI leur profite, elles le présentent comme une « technologie indispensable pour la sécurité d’Internet »,
      et si une vérification d’identité est nécessaire, elles invoquent la « protection des enfants »
      Ce type de marketing s’est déjà répété dans les industries des vaccins, des armes et du tabac

  • RPKI ne se limite plus simplement aux ROA
    Un détournement BGP peut aussi se produire ailleurs qu’au premier ou au dernier saut
    Le site devrait être mis à jour pour tester aussi les préfixes ASPA-invalid

  • Le FAI Free SAS est marqué comme « unsafe », mais le test réel indique une réussite
    valid.rpki.isbgpsafeyet.com traite correctement les préfixes valides,
    et invalid.rpki.isbgpsafeyet.com traite correctement les préfixes invalides

  • Le FAI est marqué unsafe dans le tableau, mais le test le donne comme sûr

    • La dernière mise à jour du tableau date du 3 février, donc RPKI semble avoir été déployé entre-temps

  • Le visuel montrant un attaquant redirigeant le trafic vers un site malveillant est un peu trompeur
    Si le certificat SSL n’est pas valide, le navigateur bloque l’accès, ce qui limite les dégâts réels
    En revanche, cela reste exploitable pour des attaques par déni de service (DoS)

    • Un attaquant qui contrôle la destination pourrait aussi obtenir un certificat SSL valide via Let’s Encrypt ou un service similaire

  • RPKI et ASPA améliorent la sécurité vis-à-vis des autres réseaux, mais augmentent la dépendance aux registres
    Si un pays est sanctionné et perd l’accès au registre, il ne pourra plus mettre à jour ses enregistrements

    • En réalité, les registres pouvaient déjà auparavant révoquer des attributions de numéros
      RPKI n’a fait que renforcer ce pouvoir
      En fin de compte, nous faisons du réseau sous l’approbation de l’IANA,
      et pour s’en affranchir, il faudrait repenser entièrement le système d’attribution des ASN et des adresses IP

  • BGP ne deviendra vraiment sûr que lorsque nous l’abandonnerons au profit de SCION
    Voir l’article Wikipédia sur SCION

    • Mais SCION est perçu comme du snake oil parmi les opérateurs réseau
      Son modèle centré sur un fournisseur unique, l’absence de prise en charge ASIC, la blockchain et le greenwashing lui ont fait perdre toute crédibilité
      Il est testé en Suisse, mais le secteur dans son ensemble ne le prend pas au sérieux
    • Pour une vraie sécurité, il faudrait passer à une nouvelle architecture de routage comme Yggdrasil
      Voir le projet Yggdrasil
    • On peut se demander pourquoi une telle transition n’a toujours pas eu lieu

  • RPKI rend BGP un peu plus sûr, mais ce n’est pas une solution complète
    Il bloque certains détournements, mais cela reste un simple rafistolage d’un système fondé sur la confiance