Qu'est-ce que le détournement de BGP ?

Le détournement de BGP est un détournement malveillant du trafic Internet qui exploite la nature confiante de BGP, le protocole de routage d'Internet.

Share facebook icon linkedin icon twitter icon email icon

Détournement de BGP

Objectifs d’apprentissage

Après avoir lu cet article, vous :

  • Définir le détournement de BGP
  • Discutez de quelques exemples concrets de détournement de BGP
  • Décrire quelques contre-mesures pour prévenir les détournements de BGP

Qu'est-ce que le détournement de BGP ?

Le détournement de BGP est le fait de pirates qui redirigent malicieusement le trafic Internet. Les pirates y parviennent en annonçant faussement la propriété de groupes d'adresses IP, appelés préfixes IP, qu'ils ne possèdent, ne contrôlent ou n'acheminent pas réellement. Un détournement de BGP ressemble beaucoup à un changement de panneaux de signalisation sur un tronçon d'autoroute et à une réorientation du trafic automobile vers des sorties incorrectes.

BGP Hijacking Reroute

Comme BGP est construit sur l'hypothèse que les réseaux interconnectés disent la vérité sur les adresses IP qu'ils possèdent, le détournement de BGP est presque impossible à arrêter - imaginez si personne ne surveillait les panneaux d'autoroute, et que la seule façon de savoir s'ils ont été malicieusement modifiés était de constater que beaucoup de voitures se retrouvaient dans les mauvais quartiers. Cependant, pour qu'un détournement se produise, les pirates doivent contrôler ou compromettre un routeur compatible BGP qui fait le pont entre un système autonome (AS) et un autre, de sorte que ce n'est pas n'importe qui qui peut effectuer un détournement de BGP.

Qu’est ce que le BGP ?

BGP signifie Border Gateway Protocol, et c'est le protocole de routage de l'Internet. En d'autres termes, il fournit des instructions pour que le trafic chemine d'une adresse IP à l'autre aussi efficacement que possible. Une adresse IP est l'adresse web réelle d'un site web donné. Lorsqu'un utilisateur saisit le nom d'un site web et que le navigateur le trouve et le charge, les requêtes et les réponses vont et viennent entre l'adresse IP de l'utilisateur et l'adresse IP du site web. Les serveurs DNS (système de noms de domaine) fournissent l'adresse IP, mais le BGP est le moyen le plus efficace d'atteindre cette adresse IP. En gros, si le DNS est le carnet d'adresses d'Internet, alors BGP est la feuille de route d'Internet.

Chaque routeur BGP stocke une table de routage avec les meilleures routes entre les systèmes autonomes. Ces derniers sont mis à jour presque continuellement car chaque AS* - souvent un fournisseur de services Internet (ISP) - diffuse les nouveaux préfixes IP qu'il possède. BGP privilégie toujours le chemin le plus court et le plus direct d'un AS à l'autre afin d'atteindre les adresses IP par le moins de sauts possible sur les réseaux.

*Définition d'un Système Autonome (AS)

Un système autonome est un grand réseau ou groupe de réseaux géré par une seule organisation. Un AS peut avoir plusieurs sous-réseaux, mais tous partagent la même politique de routage. En général, un AS est soit un FAI, soit une très grande organisation avec son propre réseau et de multiples connexions en amont de ce réseau vers les FAI (c'est ce qu'on appelle un "réseau multihébergement"). Chaque AS se voit attribuer son propre numéro de système autonome, ou ASN, pour faciliter son identification.

Pourquoi BGP est-il important ?

BGP rend possible la croissance à grande échelle de l'Internet. L'internet est constitué de plusieurs grands réseaux qui sont interconnectés. Comme il est décentralisé, il n'y a pas d'organe directeur ou de responsable du trafic qui détermine les meilleurs itinéraires pour que les paquets de données se rendent à leur adresse IP de destination. BGP remplit ce rôle. Sans BGP, le trafic web pourrait prendre énormément de temps pour atteindre sa destination en raison d'un routage inefficace, ou n'atteindrait jamais la destination visée.

Comment le BGP peut-il être détourné ?

Lorsqu'un AS annonce un itinéraire vers des préfixes IP qu'il ne contrôle pas réellement, cette annonce, si elle n'est pas filtrée, peut se propager et être ajoutée aux tables de routage des routeurs BGP sur l'internet. À partir de ce moment, jusqu'à ce que quelqu'un remarque et corrige les itinéraires, le trafic vers ces IP sera acheminé vers cet AS. Ce serait comme revendiquer un territoire s'il n'y avait pas de gouvernement local pour vérifier et faire respecter les actes de propriété.

BGP privilégie toujours le chemin le plus court et le plus spécifique vers l'adresse IP souhaitée. Pour un détournement réussi de BGP, l'annonce de la route doit soit :

1) Offrir un itinéraire plus spécifique en annonçant une gamme d'adresses IP plus limitée que celle annoncée précédemment par les autres AS.

2) Offrir un itinéraire plus court vers certains groupes d'adresses IP. En outre, ce n'est pas n'importe qui qui peut annoncer des routes BGP vers le grand Internet. Pour qu'un détournement BGP se produise, l'annonce doit être faite par l'opérateur d'un AS, ou par un auteur de menace qui a corrompu un AS (le second cas est plus rare).

BGP Hijacking Flow

Il peut sembler surprenant que l'opérateur d'un grand réseau ou d'un groupe de réseaux, dont beaucoup sont des FAI, entreprenne effrontément une telle activité malveillante. Mais si l'on considère que, selon certains chiffres, il existe aujourd'hui plus de 80 000 systèmes autonomes dans le monde, il n'est pas surprenant que certains d'entre eux ne soient pas dignes de confiance. En outre, le détournement de BGP n'est pas toujours évident ou facile à détecter. Les pirates peuvent camoufler leur activité derrière d'autres AS, ou annoncer des blocs de préfixes IP inutilisés qui ne seront probablement pas remarqués afin de rester sous le radar.

Que se passe-t-il lorsque BGP est détourné ?

En raison du détournement de BGP, le trafic Internet peut prendre une mauvaise direction, être surveillé ou intercepté, être "placé dans un trou noir " ou être dirigé vers de faux sites Web dans le cadre d'une attaque par tiers interposé. En outre, les polluposters peuvent utiliser le détournement de BGP, ou le réseau d'un AS qui pratique le détournement de de BGP, afin d'usurper des adresses IP légitimes à des fins de pollupostage. Du point de vue de l'utilisateur, les temps de chargement des pages augmenteront parce que les demandes et les réponses ne suivront pas le chemin le plus efficace du réseau, et peuvent même faire inutilement le tour du monde.

Dans le meilleur des cas, le trafic ne ferait qu'emprunter un itinéraire inutilement long, ce qui augmenterait la latence. Dans le pire des cas, un pirate pourrait mener une attaque par tier interposé ou rediriger les utilisateurs vers de faux sites web afin de leur voler leurs identifiants.

Le détournement du BGP dans le concret

Il y a eu de nombreux exemples concrets de détournement délibéré du BGP. Par exemple, en avril 2018, un fournisseur russe a annoncé un certain nombre de préfixes IP (groupes d'adresses IP) qui appartiennent en fait aux serveurs DNS de Route53 de Amazon. En bref, le résultat final a été que les utilisateurs qui tentaient de se connecter à un site de cryptomonnaie ont été redirigés vers une fausse version du site web contrôlée par des pirates. Les pirates ont ainsi pu voler environ 152 000 dollars en cryptomonnaies. (Pour être plus précis : Via le détournement BGP, les pirates ont détourné les requêtes DNS d'Amazon de sorte que les requêtes DNS pour myetherwallet.com sont allées aux serveurs qu'ils contrôlaient, ont renvoyé la mauvaise adresse IP et ont dirigé les requêtes HTTP vers le faux site web. Pour en savoir plus, lisez notre article de blog : '​BGP leaks and cryptocurrencies​​').

Des cas de détournement accidentel de BGP sont également fréquents et peuvent avoir un impact négatif sur l'ensemble de l'Internet mondial. En 2008, la société publique pakistanaise Pakistan Telecom a tenté de censurer Youtube au Pakistan en mettant à jour les itinéraires BGP de son site web. Apparemment par accident, les nouveaux itinéraires ont été annoncés aux fournisseurs en amont de Pakistan Telecom, et de là, diffusés sur l'ensemble d'Internet. Soudain, toutes les demandes de Youtube ont été adressées à Pakistan Telecom, ce qui a entraîné une interruption de plusieurs heures du site web pour la quasi-totalité de l'Internet, et a submergé le FAI.

Comment les utilisateurs et les réseaux peuvent-ils se défendre contre le détournement de BGP ?

Hormis le suivi constant de la manière dont le trafic Internet est acheminé, les utilisateurs et les réseaux ne peuvent pas faire grand-chose pour empêcher les détournements de BGP.

Filtrage des préfixes IP

La plupart des réseaux ne devraient accepter les déclarations de préfixes IP que si elles sont nécessaires, et ne devraient déclarer leurs préfixes IP qu'à certains réseaux, et non à l'ensemble de l'internet. Cela permet d'éviter les détournements accidentels de routes et pourrait empêcher le SA d'accepter de fausses déclarations de préfixes IP ; cependant, dans la pratique, cela est difficile à appliquer.

Détection des détournements de BGP

Une latence accrue, des performances réseau dégradées et un trafic Internet mal orienté sont autant de signes possibles d'un détournement de BGP. De nombreux grands réseaux surveillent les mises à jour de BGP pour s'assurer que leurs clients ne sont pas confrontés à des problèmes de latence, et quelques chercheurs en sécurité surveillent en fait le trafic Internet et publient leurs constats.

Rendre le BGP plus sûr

BGP a été conçu pour faire fonctionner l'Internet, et c'est certainement ce qu'il fait. Mais BGP n'a pas été conçu en ayant la sécurité en vue. Des solutions de routage plus sûres pour l'ensemble de l'Internet (telles que BGPsec) sont en cours de développement, mais elles n'ont pas encore été adoptées. Pour l'instant, BGP est intrinsèquement vulnérable et le restera.

Comment Cloudflare utilise-t-il le BGP ?

Cloudflare possède plus de 194 datacenters répartis dans le monde entier, qui diffusent tous un ASN (AS13335) et les mêmes préfixes IP. Cela réduit le nombre de réseaux que le trafic doit traverser pour atteindre les adresses IP hébergées par Cloudflare. Par conséquent, des chemins efficaces vers des adresses IP appartenant à Cloudflare sont disponibles presque partout dans le monde. Pour un AS au Japon, le chemin le plus court vers une adresse IP Cloudflare peut n'être qu'à quelques sauts de réseau, pour aboutir à un datacenter Cloudflare local basé au Japon. En Californie, le trafic pourrait aller à la même adresse IP, hébergée dans le même AS Cloudflare, et finir par l'atteindre via un datacenter californien.