BGP n’est-il toujours pas sûr ?

(isbgpsafeyet.com)

2 points par GN⁺ 27 일 전 | Aucun commentaire pour le moment. | Partager sur WhatsApp

BGP (Border Gateway Protocol), le protocole de routage central d’Internet, est chargé de la sélection des routes, mais n’intègre pas de mécanisme natif de vérification de sécurité
En conséquence, si des informations de routage erronées sont propagées, cela peut provoquer un détournement de trafic ou des pannes de grande ampleur ; pour s’en prémunir, RPKI (Resource Public Key Infrastructure) a été introduit
RPKI vérifie cryptographiquement l’authenticité des routes, ce qui permet de qualifier les routes incorrectes d’invalid et de les bloquer
Cloudflare suit et publie l’état d’adoption de RPKI chez les principaux FAI et opérateurs de transit du monde, et certains opérateurs restent encore dans un état unsafe
L’Internet ne pourra bénéficier d’un routage sûr que lorsque tous les grands opérateurs réseau auront pleinement déployé RPKI et le filtrage

Border Gateway Protocol (BGP) est le « service postal » d’Internet : il choisit la meilleure route parmi celles que les données peuvent emprunter
Mais comme aucune fonction de sécurité n’y est intégrée, la propagation d’informations de routage erronées peut entraîner des pannes Internet massives ou un détournement de trafic
Pour résoudre ce problème, l’introduction d’un système d’authentification appelé Resource Public Key Infrastructure (RPKI) permet de vérifier l’authenticité des routes
Plusieurs FAI mondiaux et opérateurs de transit déploient RPKI, et Cloudflare en assure le suivi public
Le routage Internet ne pourra devenir sûr que si tous les grands opérateurs réseau adoptent RPKI

Dernières mises à jour

Le 3 février 2026, l’opérateur mondial de transit Tier-1 Sparkle (AS6762) a rejeté les préfixes RPKI-invalid
Le 1er octobre 2025, le principal opérateur de transit slovaque Energotel (AS31117) a commencé à filtrer les routes RPKI-invalid
Le 28 août 2025, le grand FAI canadien Bell Canada (AS577) a mis en place le filtrage des routes RPKI-invalid dans son réseau
Le 22 février 2024, Deutsche Telekom (AS3320), l’un des plus grands FAI d’Europe, a appliqué la validation d’origine RPKI à son réseau mondial
Le 24 janvier 2024, Verizon (AS701), aux États-Unis, a complètement déployé la validation d’origine RPKI sur l’ensemble de son réseau

Cloudflare publie l’état de signature RPKI et de filtrage de 31 grands opérateurs
De grands opérateurs de transit comme Lumen, Arelion, Cogent, NTT, Sparkle, Hurricane Electric, GTT, TATA, Zayo, Vodafone sont tous en état safe
De grands FAI comme Comcast, AT&T, Verizon, Deutsche Telekom, KPN, Swisscom, Bell Canada ont également terminé la signature et le filtrage
Certains opérateurs (Google, IIJ, OCN, Vivacom, etc.) ne les ont déployés que partiellement et sont classés partially safe
China Telecom, KT, SK Broadband, TurkTelekom, Vodafone DE, PLDT, IBM Cloud, OVH, etc. restent encore en état unsafe

Internet est une architecture réseau distribuée composée de milliers de systèmes autonomes (AS)
Chaque nœud détermine sa route uniquement à partir des informations reçues des nœuds auxquels il est directement connecté
Le détournement BGP consiste pour un nœud malveillant à diffuser de fausses informations de routage afin d’intercepter le trafic
En l’absence de protocole de sécurité, ces mauvaises informations peuvent se propager à l’échelle mondiale et faire transiter les données par de mauvaises routes
RPKI permet, grâce à une vérification cryptographique, de rendre ces routes invalides et de les bloquer

RPKI (Resource Public Key Infrastructure) est un framework de sécurité qui relie et vérifie cryptographiquement les routes et les systèmes autonomes
Comme il est impossible de vérifier manuellement plus de 800 000 routes Internet, RPKI automatise cette tâche
Une fois RPKI activé, même si des informations de routage erronées sont propagées, les routeurs les qualifient d’invalid et les rejettent
Le blog de Cloudflare explique en détail le fonctionnement de RPKI et des cas de déploiement

Par défaut, BGP n’intègre aucun protocole de sécurité
Chaque système autonome doit effectuer lui-même le filtrage des routes erronées
Les fuites de routes (route leak) surviennent à cause d’erreurs de configuration ou d’actes malveillants, et peuvent rendre une partie d’Internet inaccessible
Le détournement BGP peut rediriger le trafic vers d’autres systèmes et permettre le vol d’informations ou l’interception
Un routage sûr n’est possible que si tous les AS annoncent uniquement des routes légitimes et appliquent le filtrage

Cloudflare propose une fonction permettant de tester si un FAI a mis en œuvre un BGP sécurisé
Elle annonce des routes légitimes mais délibérément marquées invalid, puis vérifie si l’utilisateur peut accéder au site web concerné
Si l’accès est possible, cela signifie que le FAI accepte des routes erronées

Les opérateurs réseau et les développeurs poursuivent des travaux de normalisation pour améliorer des protocoles de routage non sécurisés
Cloudflare participe à l’initiative MANRS (Mutually Agreed Norms for Routing Security)
- MANRS est une communauté mondiale visant à renforcer l’infrastructure de routage, dont les membres s’engagent à mettre en œuvre des mécanismes de filtrage
Plus il y a d’opérateurs qui y participent, plus le niveau global de sécurité du routage sur Internet s’améliore

Ils peuvent partager la page isbgpsafeyet.com pour sensibiliser largement à la nécessité d’adopter RPKI
Ils peuvent demander à leur FAI ou à leur hébergeur d’adopter RPKI et de rejoindre MANRS
Il faut que les grands FAI adoptent RPKI pour que l’ensemble d’Internet devienne plus sûr
Cloudflare souligne le message suivant : « Quand Internet devient plus sûr, tout le monde en bénéficie »