Le détournement de BGP est un détournement malveillant du trafic Internet qui exploite la nature confiante de BGP, le protocole de routage d'Internet.
Cet article s'articule autour des points suivants :
Contenu associé
Protocole Border Gateway (BGP)
Le SSL, qu’est-ce que c’est ?
Qu’est-ce qu’une violation des données ?
VPN
Qu'est-ce que le TLS ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le détournement de BGP est le fait d'attaquants qui redirigent malicieusement le trafic Internet. Les attaquants y parviennent en annonçant faussement la propriété de groupes d'adresses IP, appelés préfixes IP, qu'ils ne possèdent, ne contrôlent ou n'acheminent pas réellement. Un détournement de BGP ressemble beaucoup à un changement de panneaux de signalisation sur un tronçon d'autoroute et à une réorientation du trafic automobile vers des sorties incorrectes.
Comme BGP est construit sur l'hypothèse que les réseaux interconnectés disent la vérité sur les adresses IP qu'ils possèdent, le détournement de BGP est presque impossible à arrêter – imaginez si personne ne surveillait les panneaux d'autoroute, et que la seule façon de savoir s'ils ont été malicieusement modifiés était de constater que beaucoup de voitures se retrouvaient dans les mauvais quartiers. Cependant, pour qu'un détournement se produise, les attaquants doivent contrôler ou compromettre un routeur compatible BGP qui fait le pont entre un système autonome (AS) et un autre, de sorte que ce n'est pas n'importe qui qui peut effectuer un détournement de BGP.
BGP signifie Border Gateway Protocol, et c'est le protocole de routage de l'Internet. En d'autres termes, il fournit des instructions pour que le trafic chemine d'une adresse IP à l'autre aussi efficacement que possible. Une adresse IP est l'adresse web réelle d'un site Web donné. Lorsqu'un utilisateur saisit le nom d'un site Web et que le navigateur le trouve et le charge, les requêtes et les réponses vont et viennent entre l'adresse IP de l'utilisateur et l'adresse IP du site Web. Les serveurs DNS (système de noms de domaine) fournissent l'adresse IP, mais le BGP est le moyen le plus efficace d'atteindre cette adresse IP. En gros, si le DNS est le carnet d'adresses d'Internet, alors BGP est la feuille de route d'Internet.
Chaque routeur BGP stocke une table de routage avec les meilleures routes entre les systèmes autonomes. Ces derniers sont mis à jour presque continuellement car chaque AS* – souvent un fournisseur d'accès Internet (FAI) – diffuse les nouveaux préfixes IP qu'il possède. BGP privilégie toujours le chemin le plus court et le plus direct d'un AS à l'autre afin d'atteindre les adresses IP par le moins de sauts possible sur les réseaux. En savoir plus sur BGP >>
Un système autonome est un grand réseau ou groupe de réseaux géré par une seule organisation. Un AS peut avoir plusieurs sous-réseaux, mais tous partagent la même politique de routage. En général, un AS est soit un FAI, soit une très grande organisation avec son propre réseau et de multiples connexions en amont de ce réseau vers les FAI (c'est ce qu'on appelle un « réseau multihébergement »). Chaque AS se voit attribuer son propre numéro de système autonome, ou NSA, pour faciliter son identification. En savoir plus sur les systèmes autonomes >>
BGP rend possible la croissance à grande échelle de l'Internet. L'internet est constitué de plusieurs grands réseaux qui sont interconnectés. Comme il est décentralisé, il n'y a pas d'organe directeur ou de responsable du trafic qui détermine les meilleurs itinéraires pour que les paquets de données se rendent à leur adresse IP de destination. BGP remplit ce rôle. Sans BGP, le trafic web pourrait prendre énormément de temps pour atteindre sa destination en raison d'un routage inefficace, ou n'atteindrait jamais la destination visée.
Lorsqu'un AS annonce un itinéraire vers des préfixes IP qu'il ne contrôle pas réellement, cette annonce, si elle n'est pas filtrée, peut se propager et être ajoutée aux tables de routage des routeurs BGP sur l'internet. À partir de ce moment, jusqu'à ce que quelqu'un remarque et corrige les itinéraires, le trafic vers ces IP sera acheminé vers cet AS. Ce serait comme revendiquer un territoire s'il n'y avait pas de gouvernement local pour vérifier et faire respecter les actes de propriété.
BGP privilégie toujours le chemin le plus court et le plus spécifique vers l'adresse IP souhaitée. Pour un détournement réussi de BGP, l'annonce de la route doit soit :
1) Offrir un itinéraire plus spécifique en annonçant une gamme d'adresses IP plus limitée que celle annoncée précédemment par les autres AS.
2) Offrir un itinéraire plus court vers certains groupes d'adresses IP. En outre, ce n'est pas n'importe qui qui peut annoncer des routes BGP vers le grand Internet. Pour qu'un détournement BGP se produise, l'annonce doit être faite par l'opérateur d'un AS, ou par un auteur de menace qui a corrompu un AS (le second cas est plus rare).
Il peut sembler surprenant que l'opérateur d'un grand réseau ou d'un groupe de réseaux, dont beaucoup sont des FAI, entreprenne effrontément une telle activité malveillante. Mais si l'on considère que, selon certains chiffres, il existe aujourd'hui plus de 80 000 systèmes autonomes dans le monde, il n'est pas surprenant que certains d'entre eux ne soient pas dignes de confiance. En outre, le détournement de BGP n'est pas toujours évident ou facile à détecter. Les pirates peuvent camoufler leur activité derrière d'autres AS, ou annoncer des blocs de préfixes IP inutilisés qui ne seront probablement pas remarqués afin de rester sous le radar.
En raison du détournement de BGP, le trafic Internet peut prendre une mauvaise direction, être surveillé ou intercepté, être « placé dans un trou noir » ou être dirigé vers de faux sites Web dans le cadre d'une attaque sur le chemin. En outre, les polluposters peuvent utiliser le détournement de BGP, ou le réseau d'un AS qui pratique le détournement de BGP, afin d'usurper des adresses IP légitimes à des fins de pollupostage. Du point de vue de l'utilisateur, les temps de chargement des pages augmenteront parce que les requêtes et les réponses ne suivront pas l'itinéraire le plus efficace du réseau, et peuvent même faire inutilement le tour du monde.
Dans le meilleur des cas, le trafic ne ferait qu'emprunter un itinéraire inutilement long, ce qui augmenterait la latence. Dans le pire des cas, un attaquant pourrait mener une attaque par tiers interposé ou rediriger les utilisateurs vers de faux sites Web afin de leur voler leurs identifiants.
Il y a eu de nombreux exemples concrets de détournement délibéré du BGP. Par exemple, en avril 2018, un fournisseur russe a annoncé un certain nombre de préfixes IP (groupes d'adresses IP) qui appartiennent en fait aux serveurs DNS de Route53 d'Amazon. En bref, le résultat final a été que les utilisateurs qui tentaient de se connecter à un site de cryptomonnaie ont été redirigés vers une fausse version du site Web contrôlée par des pirates. Les pirates ont ainsi pu voler environ 152 000 dollars en cryptomonnaies. (Pour être plus précis : Via le détournement BGP, les pirates ont détourné les requêtes DNS d'Amazon de sorte que les requêtes DNS pour myetherwallet.com sont allées aux serveurs qu'ils contrôlaient, ont renvoyé la mauvaise adresse IP et ont dirigé les requêtes HTTP vers le faux site Web. Pour en savoir plus, lisez notre article de blog : « BGP leaks and cryptocurrencies »).
Des cas de détournement accidentel de BGP sont également fréquents et peuvent avoir un impact négatif sur l'ensemble de l'Internet mondial. En 2008, la société publique pakistanaise Pakistan Telecom a tenté de censurer Youtube au Pakistan en mettant à jour les itinéraires BGP de son site web. Apparemment par accident, les nouveaux itinéraires ont été annoncés aux fournisseurs en amont de Pakistan Telecom, et de là, diffusés sur l'ensemble d'Internet. Soudain, toutes les demandes de Youtube ont été adressées à Pakistan Telecom, ce qui a entraîné une interruption de plusieurs heures du site web pour la quasi-totalité de l'Internet, et a submergé le FAI.
Hormis le suivi constant de la manière dont le trafic Internet est acheminé, les utilisateurs et les réseaux ne peuvent pas faire grand-chose pour empêcher les détournements de BGP.
La plupart des réseaux ne devraient accepter les déclarations de préfixes IP que si elles sont nécessaires, et ne devraient déclarer leurs préfixes IP qu'à certains réseaux, et non à l'ensemble de l'internet. Cela permet d'éviter les détournements accidentels de routes et pourrait empêcher le SA d'accepter de fausses déclarations de préfixes IP ; cependant, dans la pratique, cela est difficile à appliquer.
Une latence accrue, des performances réseau dégradées et un trafic Internet mal orienté sont autant de signes possibles d'un détournement de BGP. De nombreux grands réseaux surveillent les mises à jour de BGP pour s'assurer que leurs clients ne sont pas confrontés à des problèmes de latence, et quelques chercheurs en sécurité surveillent en fait le trafic Internet et publient leurs constats.
BGP a été conçu pour faire fonctionner l'Internet, et c'est certainement ce qu'il fait. Mais BGP n'a pas été conçu en ayant la sécurité en vue. Des solutions de routage plus sûres pour l'ensemble de l'Internet (telles que BGPsec) sont en cours de développement, mais elles n'ont pas encore été adoptées. Pour l'instant, BGP est intrinsèquement vulnérable et le restera.
Cloudflare possède des datacenters répartis dans 330 dans le monde entier, qui diffusent tous un ASN (AS13335) et les mêmes préfixes IP. Cela réduit le nombre de réseaux que le trafic doit traverser pour atteindre les adresses IP hébergées par Cloudflare. Par conséquent, des chemins efficaces vers des adresses IP appartenant à Cloudflare sont disponibles presque partout dans le monde. Pour un AS au Japon, le chemin le plus court vers une adresse IP Cloudflare peut n'être qu'à quelques sauts de réseau, pour aboutir à un datacenter Cloudflare local basé au Japon. En Californie, le trafic pourrait aller à la même adresse IP, hébergée dans le même AS Cloudflare, et finir par l'atteindre via un datacenter californien.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité