Anomalies BGP observées pendant la panne d’électricité au Venezuela

• En même temps que la panne d’électricité au Venezuela, des anomalies de routage BGP centrées sur CANTV (AS8048) ont été observées
• Selon les données de Cloudflare Radar, le 2 janvier, 8 préfixes IP incluant des routes de CANTV ont été acheminés via des chemins AS anormaux
• Ces chemins incluaient Sparkle (Italie) et GlobeNet (Colombie), Sparkle étant classé comme un opérateur « non sûr » n’appliquant pas le filtrage RPKI
• L’analyse avec bgpdump montre que le numéro AS de CANTV (8048) était répété 10 fois dans le chemin AS, une forme incompatible avec les règles habituelles de sélection de route, et il a été confirmé que cette plage IP appartenait à Dayco Telecom à Caracas
• La proximité temporelle entre cette fuite de route BGP, la panne, l’explosion et l’entrée de l’armée américaine montre clairement qu’une activité anormale au niveau réseau a eu lieu

Panne d’électricité au Venezuela et anomalies BGP

• Pendant la panne d’électricité au Venezuela, une fuite de route BGP (route leak) centrée sur CANTV (AS8048) s’est produite
  • Les données de Cloudflare Radar montrent que 8 préfixes IP ont été routés via des chemins anormaux passant par CANTV
  • Les chemins incluaient Sparkle (Italie) et GlobeNet (Colombie)
• Cloudflare Radar a enregistré le 2 janvier une forte hausse des annonces BGP ainsi qu’une réduction de l’espace d’adresses IP publiques
  • La cause n’est pas claire
• Sparkle est classé comme opérateur « non sûr » sur isbgpsafeyet.com, avec absence de filtrage RPKI

Analyse des données BGP

• À l’aide des données publiques de ris.ripe.net et de l’outil bgpdump, des préfixes manquants que Cloudflare n’affichait pas ont été extraits
  • L’analyse montre que CANTV (8048) était répété 10 fois dans le chemin AS
  • Comme BGP privilégie les chemins courts, cette répétition indique une construction de route anormale
• Les 8 préfixes étaient tous inclus dans le bloc 200.74.224.0/20
  • Une recherche WHOIS a confirmé qu’il appartenait à Dayco Telecom (basé à Caracas)
• Une recherche DNS inverse a montré que cette plage IP comprenait des infrastructures critiques comme des banques, des fournisseurs d’accès à Internet et des serveurs de messagerie

Chronologie de l’incident

• 2 janvier 15:40 UTC : détection de la fuite de route BGP (Cloudflare Radar)
• 3 janvier vers 06:00 : explosion signalée à Caracas (NPR)
• 3 janvier 06:00 : l’armée américaine arrive à la résidence de Maduro (NBC News)
• 3 janvier 08:29 : Maduro embarque à bord de l’USS Iwo Jima (CNN)
• Durant cette période, il existe des indices selon lesquels le trafic BGP a été détourné via un tiers intermédiaire, ce qui aurait pu permettre une collecte d’informations si ce chemin était contrôlé

Analyse et observations

• L’insertion 10 fois de CANTV AS8048 dans le chemin a pour effet de réduire la priorité du trafic
  • L’intention reste inconnue, mais il est clair qu’il y a eu des manipulations de route anormales (shenanigans)
• Même les seules données publiques justifient une analyse plus approfondie des activités réseau anormales de l’époque
• L’article écarte toute interprétation politique et traite uniquement du phénomène technique anormal sous un angle de sécurité offensive

Autres liens liés à la sécurité

• MCP Security : démontre que des serveurs MCP malveillants peuvent exfiltrer des prompts IA et des variables d’environnement
• The Year in LLMs (2025) : résumé des modèles de raisonnement, agents de code, modèles open-weight chinois, adoption de MCP, etc.
• Linux is Good Now : discussion présentant 2026 comme l’année du desktop Linux
• No strcpy Either : le projet curl supprime strcpy() et introduit des wrappers explicitant la taille des buffers
• Kubernetes Networking Best Practices : choix du CNI, politiques réseau, service mesh et guide de dépannage