Close

BGP (Border Gateway Protocol)

En 2008, l’État pakistanais a tenté, pour des motifs politiques, de couper l’accès à certaines vidéos publiées sur YouTube. Pakistan Telecom a alors annoncé l’ouverture d’une nouvelle route dans une instruction Border Gateway Protocol (BGP, protocole de passerelle), initialement prévue pour filtrer les demandes nationales d’accès à la plateforme de vidéos. Conséquence imprévue de cette reconfiguration : la route BGP ainsi ouverte s’est propagée au niveau mondial, détournant la totalité du trafic YouTube vers le Pakistan. Résultat : l’accès à YouTube d’une partie de la population mondiale a été interrompu, surchargeant les serveurs pakistanais qui sont alors tombés, coupant l’accès internet de l’ensemble du pays[1].

Graphique produit par Keynote Systems illustrant l’effondrement de la disponibilité de Youtube.com dans le monde suite à la propagation de la nouvelle instruction[2]

Les détournements de ce type, appelés « hijack BGP », sont rendus possibles par la structure même du protocole BGP qui ne prévoit pas de procédure de vérification des routes annoncées. Or, en tant que protocole en charge de la circulation des données, BGP constitue, dans l’architecture d’internet, l’une des rares intersections d’enjeux techniques, politiques et économiques.

FOCUS : Le BGP

Le BGP est l’une des règles (« protocoles ») qui sous-tendent le réseau Internet. L’Internet est en effet composé de réseaux indépendants appelés « Systèmes autonomes » (Autonomous Systems – AS), tous administrés par une autorité (ou opérateur) qui en définit la politique de routage, autrement dit les règles de circulation des informations entre les ordinateurs connectés à cet AS.[3]

BGP est un protocole de routage inter AS : il est utilisé pour faire circuler l’information entre les réseaux. Il permet donc de connecter des ordinateurs d’AS différents et par là-même d’opérateurs différents[4]. En 2018, on dénombre environ 60 000 AS identifiés par un numéro unique (Autonomous System Number – ASN)[5]. Les AS sont de proportions variables, allant d’une adresse IP (Internet Protocol) à plusieurs millions, comme par exemple l’AS 4134 de Chinanet Backbone qui possède 113 938 176 adresses IP[6].

1.   La manipulation du BGP, moyen de contrôle du trafic Internet ?

a)   Les enjeux du routage d’information

Les routeurs échangent quatre types d’information concernant les réseaux auxquels ils ont accès via le BGP :

  • Open: échange des numéros d’AS respectifs et l’identité des routeurs ;
  • Keep alive: vérification de l’activité du lien entre deux routeurs ;
  • Notification: notifie la fin d’une session, notamment à la suite d’une erreur ;
  • Update: annonce émise par un AS à un autre AS concernant les chemins disponibles ou perdus pour atteindre une adresse IP en passant par lui.

C’est grâce à cet échange d’informations que chaque routeur décide du chemin qu’il fera prendre à ses données pour atteindre un autre réseau. Par exemple, pour connecter un réseau français à un réseau chinois, il faut traverser au moins onze systèmes autonomes[7].

L’usage veut que les routeurs choisissent la route la plus courte, soit celle qui annonce le moins d’AS intermédiaires, et la plus précise, soit la plage d’adresses IP englobant la destination la plus spécifique.

En réalité, ce sont les opérateurs qui, à travers la configuration des routeurs, choisissent quelles routes doivent être favorisées par les routeurs pour faire circuler les informations entre les réseaux. Leur principal objectif est d’assurer la fluidité et la rapidité des transmissions ou, au contraire, de bloquer des accès ou de contraindre des échanges comme l’a montré le cas de Pakistan Telecom. Plusieurs paramètres entrent en compte lors de la définition de la politique de routage des opérateurs :

  • Le prix du passage par un AS: les opérateurs d’AS étant généralement concurrents, les prix de passage varient et les routeurs sont souvent programmés pour choisir les routes les moins onéreuses ;
  • La véracité et l’exhaustivité des informations fournies par les routeurs voisins : le routeur n’annonce à ses voisins que les chemins les plus bénéfiques ; il est, de plus, en mesure de dissimuler une partie du trajet effectué au sein de sa propre AS : le chemin proposé peut être jonché de routeurs qui rallongent la distance ;
  • Les accords de peering, ou de partenariats, établis en fonction des intérêts stratégiques et économiques des opérateurs. En cas d’accords de peering, le routeur préfèrera passer par le chemin d’un opérateur partenaire jugé plus fiable.

b)   Risques et danger du détournement du BGP

Le protocole BGP repose sur le postulat que les AS voisins sont bienveillants et qu’ils ne transmettront que des informations véridiques. Pourtant, en dehors des politiques définies par les opérateurs au sein des AS, BGP n’est soumis à aucune régulation. Les informations échangées par les routeurs ne pouvant être vérifiées, un AS peut déclarer qu’une IP lui appartient ou encore annoncer un chemin de substitution vers un autre réseau[8] : c’est ce que l’on appelle un hijack BGP, qui n’est autre qu’un détournement de trafic. Il a pu avoir plusieurs fonctions :

  • Censurer l’accès à un domaine: en janvier 2017, l’opérateur télécom iranien, Telecommunication Infrastructure Company (TIC), a censuré une plage d’adresses attribuée à des sites pornographiques en lançant une instruction BGP qui a détourné le trafic national puis mondial[9];
  • Récupérer certaines informations à l’insu des utilisateurs, en les faisant transiter par des réseaux imprévus: en 2010, la China Telecom a détourné pendant 18 minutes une partie du trafic web allant vers et partant des domaines .gov et .mil des institutions américaines.[10]  En avril 2018, c’est la route vers le DNS (Domain Name Server) d’Amazon qui a été hijackée, les utilisateurs étant redirigés vers un serveur en Russie qui vidait leur portemonnaie virtuel de la cryptomonnaie Ethereum.[11]

Des erreurs humaines de configuration peuvent également provoquer des détournements, comme cela a été le cas pour le Route Leak de septembre 2014, lorsqu’Atrato (AS5580) a retransmis l’intégralité des 400 000 routes que lui avait annoncé par erreur VolumeDrive (AS46664), un hébergeur américain. La propagation de l’instruction erronée a entraîné des interruptions de trafic, non seulement aux Etats-Unis, mais aussi en Bulgarie et au Pakistan[12]. Un incident sur un système de routage peut ainsi engendrer des pannes sur l’ensemble des réseaux, car les modifications apportées à la politique de routage, les échecs de connexion, le redémarrage d’un routeur ou les événements malicieux peuvent entraîner une déconnexion momentanée du routeur.

Le nombre d’attaques et de pannes liées à BGP est significatif : en 2017 on en a décompté 14 000, hijacking, fuites et usurpations (spoofing) compris[13]. Ils s’accompagnent généralement de vols de données, de pertes de revenus dans le cas d’usurpation, de pannes et de dégradation de la réputation des domaines visés.

2.   Maîtriser le BGP, un véritable enjeu de cybersécurité

La digitalisation des économies tendant à populariser les enjeux de sécurité liés au BGP, plusieurs outils techniques sont d’ores et déjà à la disposition des opérateurs pour améliorer leur maîtrise du BGP et des réseaux :

a)   Solutions techniques et technologiques.

  • Les signatures ROA (Route Origin Authorization) qui permettent de faire vérifier par les différentes autorités d’attribution des préfixes, telles que les registres régionaux d’internet (RIR), de la légitimité d’un opérateur à annoncer un chemin vers un intervalle d’IP[14];
  • Le déploiement d’une Resource Public Key Infrastructure (RPKI), un mécanisme de signature numérique chiffrée qui authentifie la légitimité de la source de l’annonce BGP, soit le numéro d’AS, et les mises à jour. RPKI agit comme un filtre de préfixes en détectant les AS non autorisés et en identifiant le point d’introduction d’un hijack[15]. RPKI peut se fonder sur des ROA ;
  • Le déploiement de BGPSEC, une solution de chiffrement des messages BGP, qui permet de vérifier que chaque AS figurant dans la route a autorisé la diffusion de l’annonce. Il complète ainsi RPKI dans la mesure qui ne sécurise pas la route[16] mais ne peut fonctionner que si tous les AS énumérés l’ont adopté. L’adoption par un grand opérateur pourrait permettre de le déployer à plus grande échelle.
  • Le guide des « Bonnes pratiques de configuration de BGP» de l’ANSSI (2012-2013) suivi de plusieurs articles de prévention sur le hijack BGP[17]et du développement, depuis, d’un logiciel capable de détecter les conflits d’adressage lorsqu’un opérateur annonce un préfixe IP existant[18]. Mais depuis, l’attention portée sur BGP est moindre.

Ces outils sont encore trop peu appliqués par les opérateurs, d’abord parce que la sensibilisation à ces questions reste finalement relativement faible et qu’il n’existe pas d’instance globale en mesure d’inciter les opérateurs à définir et à appliquer un socle de mesures de sécurisation minimales de BGP ; Ensuite car la progression du chiffrement BGP (RPKI et BGPSEC) nécessite la mise à niveau matérielle des routeurs afin de les doter de la puissance de calcul nécessaire à la gestion du chiffrement[19].

Toutefois, on peut espérer que la récurrence des détournements BGP, la sensibilité croissante des données en circulation et les pertes financières causées par les hijack serviront de levier à l’application de bonnes pratiques en matière de sécurisation du BGP.

b)   Solutions stratégiques et organisationnelles

Enfin, une solution d’ordre stratégique peut également augmenter la résilience d’un réseau en cas de hijack BGP : la diversification des opérateurs d’un AS.

Multiplier les accords de peering permet de multiplier les points de contact, et par-là même le nombre de routes courtes et spécifiques disponibles. De fait, la dépendance des réseaux vis-à-vis d’un opérateur en est réduite : le choix étendu de routes courtes et spécifiques facilite la réorientation des flux de données vers une route équivalente en cas de hijack BGP sur un des opérateurs ou de panne d’un serveur. En France, 90% des opérateurs dépendent encore d’un seul opérateur[20]. Les décisions de partenariat ne peuvent se dispenser d’une analyse stratégique et politique dès lors que les routes empruntées par nos données en dépendent. Or, trop souvent, ce sont des considérations économiques qui commandent ces décisions[21].

[1] https://www.ripe.net/publications/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study

[2] https://www.cnet.com/news/how-pakistan-knocked-youtube-offline-and-how-to-make-sure-it-never-happens-again/

[3] http://reseaux.blog.lemonde.fr/2012/11/04/routage-enjeu-cyberstrategie/

[4] Ibid.

[5] https://www.grnog.gr/wp-content/uploads/sites/7/2018/07/Meynell-MANRS.pdf

Les ASN (Autonomous System Numbers) sont définis en 32bits.

[6] https://ipinfo.io/AS4134

[7] K. SALAMATIAN

[8] K. SALAMATIAN

[9] https://dyn.com/blog/iran-leaks-censorship-via-bgp-hijacks/

[10] https://www.theregister.co.uk/2010/11/17/bgp_hijacking_report/

[11] https://www.internetsociety.org/blog/2018/04/another-bgp-hijacking-event-highlights-the-importance-of-manrs-and-routing-security/

[12] https://dyn.com/blog/why-the-internet-broke-today/

[13] https://www.grnog.gr/wp-content/uploads/sites/7/2018/07/Meynell-MANRS.pdf et https://blog.apnic.net/2018/01/24/14000-incidents-routing-security-2017/

[14] https://queue.acm.org/detail.cfm?id=2668966

[15] Ibid.

[16] Ibid. et https://www.bortzmeyer.org/8205.html

[17] https://www.ssi.gouv.fr/uploads/IMG/pdf/guide_configuration_BGP.pdf

[18] https://www.intelligenceonline.fr/renseignement-d-etat_terabytes/2014/11/26/l-anssi-va-contrer-les-detournements-du-trafic-internet,108049763-art

[19] https://queue.acm.org/detail.cfm?id=2668966

[20] K. SALAMATIAN

[21] http://reseaux.blog.lemonde.fr/2012/11/04/routage-enjeu-cyberstrategie/