En 2024, nous avons identifié plusieurs risques, mais nous souhaitons en mettre un en avant : le détournement BGP.
Le Border Gateway Protocol (BGP) constitue la colonne vertébrale d’internet et est responsable du routage des données entre les différents réseaux dans le monde. Il garantit que le trafic internet emprunte l’itinéraire le plus efficace vers sa destination, en permettant aux opérateurs de réseau d’échanger des informations de routage.
Le BGP permet à internet de fonctionner comme un réseau mondial de systèmes interconnectés et de diriger le trafic en fonction des meilleures routes disponibles. Cependant, comme il repose sur un modèle de confiance, il est vulnérable à la manipulation - ce qui entraîne des menaces de sécurité comme le détournement BGP.
Qu’est-ce que le détournement BGP ?
Ce concept est complexe, mais nous allons l’expliquer de manière simple tout en couvrant les aspects techniques.
On peut le comparer à la situation suivante : imaginez une personne malveillante qui intervertit volontairement les panneaux de signalisation d’une ville. Par exemple, elle renomme la « Rue Haute » en « Rue de l’Église » et inversement. Le but de cette personne est d’induire en erreur le facteur pour qu’il pense livrer un colis à la bonne adresse, alors qu’en réalité, il se trompe ce qui permet à la personne malveillante d’intercepter le colis.
Le détournement BGP se produit lorsqu’un opérateur de réseau annonce des préfixes IP qu’il ne possède pas légitimement, entraînant ainsi une redirection du trafic internet. Cela peut être intentionnel, avec des objectifs malveillants ou accidentel en raison d’erreurs de configuration. Néanmoins, les conséquences sont graves, incluant l’interception du trafic, le vol de données, les interruptions de service et des attaques à grande échelle telles que les attaques par déni de service distribué (DDoS).
Un exemple concret : des pirates peuvent créer un site web identique au vôtre dans le but de voler des identifiants de connexion. Lorsqu’un détournement BGP se produit, vos clients sont alors redirigés, à leur insu, vers ce faux site web et y entrent leurs identifiants. Les pirates peuvent alors exploiter ces identifiants pour accéder au véritable site.
Il existe deux principales mesures pour se protéger d’un détournement BGP :
Il s’agit d’un mécanisme de sécurité au sein de l’infrastructure de Clé Publique des Ressources (RPKI) qui garantit que seuls les Systèmes Autonomes (AS) autorisés peuvent annoncer des préfixes IP spécifiques. Une ROA est un objet cryptographiquement signé créé par un détenteur d’adresses IP, spécifiant quel AS est autorisé à initier des routes pour ses préfixes IP.
Lors du processus de validation des routes BGP, les opérateurs de réseau comparent les annonces de routes entrantes aux ROA stockées dans le RPKI. Tout opérateur de réseau ayant implémenté l’infrastructure RPKI peut désormais valider les préfixes annoncés de Cloud2be.
On peut comparer cela à un facteur qui vérifierait la bonne adresse en la comparant avec celle figurant sur votre pièce d’identité avant de livrer un colis.
Notre fournisseur de télécommunications de confiance a mis en place une infrastructure RPKI sur son backbone. Cela garantit que toute annonce de route invalide est rejetée, assurant ainsi l’intégrité des adresses IP publiques et des routes de Cloud2be.
On peut comparer cela à un facteur qui ne se fie plus aux panneaux de signalisation physiques, mais qui utilise désormais son système GPS.
Vous pouvez vérifier si votre fournisseur d’accès à Internet a mis en place une configuration BGP sécurisée pour protéger votre réseau via : https://isbgpsafeyet.com.
Le détournement BGP est une menace sérieuse en cybersécurité qui peut conduire à l’interception du trafic, au vol de données et à des attaques de grande envergure telles que la fraude aux identifiants et les attaques DDoS. Tout comme un facteur peut être trompé par des panneaux de signalisation falsifiés, des acteurs malveillants peuvent manipuler les annonces de routes IP pour rediriger le trafic internet.
Pour éviter cela, les organisations doivent adopter la validation d’une ROA et l’infrastructure RPKI afin que seuls les réseaux légitimes puissent annoncer des préfixes IP. Sécuriser le BGP est donc essentiel pour préserver la confiance dans les communications en ligne.
Vous avez besoin d’aide pour sécuriser votre configuration BGP ou relever d’autres défis en cybersécurité ? N’hésitez pas à contacter l’un de nos experts.