Anomalies BGP observées pendant la panne d’électricité au Venezuela

 (loworbitsecurity.com)
2 points par GN⁺ 2026-01-06 | 1 commentaires | Partager sur WhatsApp
  • En même temps que la panne d’électricité au Venezuela, des anomalies de routage BGP centrées sur CANTV (AS8048) ont été observées
  • Selon les données de Cloudflare Radar, le 2 janvier, 8 préfixes IP incluant des routes de CANTV ont été acheminés via des chemins AS anormaux
  • Ces chemins incluaient Sparkle (Italie) et GlobeNet (Colombie), Sparkle étant classé comme un opérateur « non sûr » n’appliquant pas le filtrage RPKI
  • L’analyse avec bgpdump montre que le numéro AS de CANTV (8048) était répété 10 fois dans le chemin AS, une forme incompatible avec les règles habituelles de sélection de route, et il a été confirmé que cette plage IP appartenait à Dayco Telecom à Caracas
  • La proximité temporelle entre cette fuite de route BGP, la panne, l’explosion et l’entrée de l’armée américaine montre clairement qu’une activité anormale au niveau réseau a eu lieu

Panne d’électricité au Venezuela et anomalies BGP

  • Pendant la panne d’électricité au Venezuela, une fuite de route BGP (route leak) centrée sur CANTV (AS8048) s’est produite
    • Les données de Cloudflare Radar montrent que 8 préfixes IP ont été routés via des chemins anormaux passant par CANTV
    • Les chemins incluaient Sparkle (Italie) et GlobeNet (Colombie)
  • Cloudflare Radar a enregistré le 2 janvier une forte hausse des annonces BGP ainsi qu’une réduction de l’espace d’adresses IP publiques
    • La cause n’est pas claire
  • Sparkle est classé comme opérateur « non sûr » sur isbgpsafeyet.com, avec absence de filtrage RPKI

Analyse des données BGP

  • À l’aide des données publiques de ris.ripe.net et de l’outil bgpdump, des préfixes manquants que Cloudflare n’affichait pas ont été extraits
    • L’analyse montre que CANTV (8048) était répété 10 fois dans le chemin AS
    • Comme BGP privilégie les chemins courts, cette répétition indique une construction de route anormale
  • Les 8 préfixes étaient tous inclus dans le bloc 200.74.224.0/20
    • Une recherche WHOIS a confirmé qu’il appartenait à Dayco Telecom (basé à Caracas)
  • Une recherche DNS inverse a montré que cette plage IP comprenait des infrastructures critiques comme des banques, des fournisseurs d’accès à Internet et des serveurs de messagerie

Chronologie de l’incident

  • 2 janvier 15:40 UTC : détection de la fuite de route BGP (Cloudflare Radar)
  • 3 janvier vers 06:00 : explosion signalée à Caracas (NPR)
  • 3 janvier 06:00 : l’armée américaine arrive à la résidence de Maduro (NBC News)
  • 3 janvier 08:29 : Maduro embarque à bord de l’USS Iwo Jima (CNN)
  • Durant cette période, il existe des indices selon lesquels le trafic BGP a été détourné via un tiers intermédiaire, ce qui aurait pu permettre une collecte d’informations si ce chemin était contrôlé

Analyse et observations

  • L’insertion 10 fois de CANTV AS8048 dans le chemin a pour effet de réduire la priorité du trafic
    • L’intention reste inconnue, mais il est clair qu’il y a eu des manipulations de route anormales (shenanigans)
  • Même les seules données publiques justifient une analyse plus approfondie des activités réseau anormales de l’époque
  • L’article écarte toute interprétation politique et traite uniquement du phénomène technique anormal sous un angle de sécurité offensive

Autres liens liés à la sécurité

  • MCP Security : démontre que des serveurs MCP malveillants peuvent exfiltrer des prompts IA et des variables d’environnement
  • The Year in LLMs (2025) : résumé des modèles de raisonnement, agents de code, modèles open-weight chinois, adoption de MCP, etc.
  • Linux is Good Now : discussion présentant 2026 comme l’année du desktop Linux
  • No strcpy Either : le projet curl supprime strcpy() et introduit des wrappers explicitant la taille des buffers
  • Kubernetes Networking Best Practices : choix du CNI, politiques réseau, service mesh et guide de dépannage

À lire aussi

1 commentaires

 
GN⁺ 2026-01-06
Avis sur Hacker News

  • Il est possible de manipuler le routage pour que le trafic BGP allant de A vers B transite par C
    Si l’on contrôle le point C, on peut collecter des informations, mais dans le cas de CANTV (AS8048), il semble qu’il s’agissait simplement d’un AS path prepending
    C’est une méthode courante de traffic engineering pour réduire le trafic, et un schéma souvent observé par le passé
    Cette fois, il semble que la route de Telecom Italia Sparkle (AS6762) ait été propagée à GlobeNet Cabos Sumarinos Columbia (AS52320), avec une forte probabilité d’une simple erreur de configuration
    Il n’y a pas de trace de détournement de route vers Dayco Telecom (AS21980) ; au contraire, le prepending rendait moins probable un passage par CANTV

  • Ce qui était intéressant dans l’article, c’est que 7 % des requêtes DNS vers 1.1.1.1 étaient de type HTTPS
    Cela est lié à l’implémentation de ECH (Encrypted Client Hello) dans TLS 1.3, où le DNS héberge la clé publique du serveur afin de chiffrer complètement le nom du serveur dans la requête HTTPS
    Comme les principaux serveurs web, dont Nginx, ne le prennent pas encore en charge, il est probable que ces 7 % correspondent surtout au trafic propre à Cloudflare
    Les données correspondantes sont visibles sur Cloudflare Radar

    • Le navigateur utilise aussi cette requête pour vérifier si le site prend en charge HTTP3
      Si la connexion est lente, il y a fallback automatique vers HTTP1/2
    • Des outils comme Adguard Home peuvent être configurés pour traiter les requêtes DNS en HTTPS
      Ex. : https://dns.cloudflare.com/dns-query
    • Avec cette méthode, le nom d’hôte n’est pas exposé à l’étape DNS
      Je ne l’ai toutefois pas encore testé moi-même

  • Je pense que les pays dotés de l’arme nucléaire seraient exclus de ce genre d’opération d’enlèvement
    Ce type d’incident risque plutôt d’accroître la pression en faveur de la prolifération nucléaire

    • J’ai l’impression que la Corée du Nord avait raison depuis le début
      Avant, je trouvais cela excessif, mais maintenant on a plutôt l’air de faire les clowns
    • Si l’on parle d’un incident au niveau d’un détournement BGP, cela n’a rien à voir avec la dissuasion nucléaire
      Ce n’est pas du tout du même ordre qu’une action militaire comme une opération américaine de décapitation
    • Le fait de posséder l’arme nucléaire n’est pas un concept purement binaire
      Les vecteurs de lancement et les capacités de défense comptent, et il est peu probable qu’un incident comme l’enlèvement d’un dirigeant déclenche des représailles nucléaires
      Rien que “tenter” le nucléaire est déjà un calcul dangereux
      Par exemple, les frappes de missiles iraniennes partent du principe qu’elles seront en grande partie interceptées
    • La dissuasion nucléaire ne fonctionne que s’il existe une volonté réelle de l’utiliser
      Même si le Venezuela avait eu l’arme nucléaire, cela se serait probablement produit quand même

  • Cet incident semble moins malveillant qu’il n’y paraît : CANTV (AS8048) semble avoir envoyé à 52320 une annonce avec prepending
    Le problème de connectivité vers les pairs amont de MDS (269832) a plutôt rendu cette route plus visible

  • En voyant cet incident, j’ai l’impression qu’il est impossible d’éviter complètement la dépendance aux technologies américaines
    Entendre “enfoncez-vous encore plus dans la technologie américaine” sonne ironiquement

    • Rien ne permet d’affirmer que cette attaque soit due à la technologie américaine
      En raison des sanctions, le Venezuela a même plutôt des chances d’utiliser davantage de technologies chinoises
      En revanche, je suis d’accord sur le fait que dépendre de la technologie d’un adversaire géopolitique est risqué
    • La majeure partie du monde utilise déjà des appareils Google ou Apple
      Il n’y a presque plus de marge pour accroître encore cette dépendance
    • La technologie coûte extrêmement cher à développer et à fabriquer
      Sans capacités nationales, il faut de toute façon utiliser la technologie d’un autre pays
      Exclure les États-Unis ne donne au final qu’une “infrastructure sans les États-Unis”, avec une valeur économique comparable
      Pour un pays comme le Venezuela, cela signifie simplement remplacer une dépendance technologique par une autre, vis-à-vis d’une autre grande puissance
      En géopolitique des technologies, la réalité revient à dire que “plus on a de pain, moins on mange la merde des autres

  • Je me demande si l’économie d’OSRS (Old School RuneScape) a été affectée par cette attaque
    J’imagine qu’Internet n’a pas été complètement coupé

    • Une panne des serveurs OSRS pourrait même avoir un impact plus important sur l’économie vénézuélienne
    • Il existe effectivement un tweet indiquant qu’il y a eu un impact
    • Je me demande si quelqu’un est en contact avec un clan OSRS vénézuélien

  • Je me demande s’il y a eu des anomalies BGP similaires à Noël ou au Nouvel An

    • En regardant le tableau de bord Cloudflare, même le jour de l’attaque ne semble pas être globalement une valeur aberrante

  • Pour qu’un chemin AS de longueur 15 apparaisse sur Internet, il faut que toutes les meilleures routes aient disparu
    Cela semble aussi avoir été le cas ici, et cela ne paraît pas lié à CANTV
    Il arrive que des routes BGP restent “bloquées” à cause d’erreurs de traitement des retraits, ce qui peut faire apparaître de longs chemins dans ce genre de situation

  • La conclusion n’est pas totalement claire, mais cette enquête et cette analyse étaient très intéressantes
    On dirait que quelqu’un pourrait encore trouver davantage de liens

  • Je pense qu’à cause de cet incident, le trafic a peut-être transité par Sparkle, rendant une interception possible
    Cela dit, je ne connais pas assez bien l’architecture réseau pour l’affirmer

    • En supprimant une partie des paquets de services comme WhatsApp, Telegram ou Gmail, on peut provoquer des retards de communication
      En situation de crise, cela peut servir à bloquer d’importants moyens de communication alternatifs
    • En réalité, seul le trafic de GlobeNet vers Dayco est temporairement passé par CANTV
      La raison pour laquelle Telecom Italia Sparkle est mentionné spécifiquement n’est pas claire