Sécurité du BGP : importance de l'implémentation de la RPKI par chaque fournisseur

La RPKI (Resource Public Key Infrastructure) est une manière d'améliorer la sécurité du Border Gateway Protocol. Une nuance importante ici est que tous les fournisseurs d'accès à Internet doivent implémenter cette norme pour être efficaces à 100 %.

Le « Border Gateway Protocol » ou BGP existe depuis 1994 et constitue la base du routage Internet. Le protocole veille à ce que l'immense quantité de réseaux individuels qui composent l'Internet puissent « se parler ».

Toutefois, le BGP n'a pas été développé dans un souci de sécurité. À ce jour, il est toujours possible pour un système autonome (AS), un sous-réseau de l'Internet ayant sa propre politique de routage, de faire de la publicité sur des adresses IP dont il n'est pas le propriétaire légitime. C'est ce qu'on appelle le « piratage » de BGP ou de préfixe. Cela se produit pour deux raisons principales : une mauvaise configuration ou un acte malveillant.

L'un des effets possibles d'un tel « détournement » de préfixe est qu'un utilisateur d'Internet qui essaie d'atteindre une adresse IP dans la plage détournée n'atteindra pas la destination légitime. Au lieu de cela, il perdra sa connectivité ou, pire encore, il se retrouvera sur un site Web malveillant. Dans ce dernier cas, le trafic de données est délibérément détourné vers une autre plate-forme.

Signature numérique des préfixes

Plusieurs améliorations ont été apportées au fil des ans pour améliorer la sécurité du BGP. La RPKI (Resource Public Key Infrastructure) n'en est qu'une. Ce cadre permet d'ajouter une signature numérique aux préfixes afin que les routeurs BGP puissent refuser les préfixes non valides. Un enregistrement ROA (Route Origin Authorisation) relie un préfixe à un numéro AS et fournit ainsi une preuve vérifiable que le fournisseur d'accès à Internet est propriétaire de ce préfixe.

La RPKI contribue donc à réduire le risque de sécurité du BGP, mais il n'est pas encore une pratique très répandue à ce jour. Aujourd'hui, moins de 20% des préfixes IPv4 sont marqués comme légitimes.

Cercle avec un cadenas verrouillé au milieu

Un effort conjoint est nécessaire

Récemment, un fournisseur de CDN (content delivery network) a lancé un outil en ligne permettant aux utilisateurs de vérifier si leur fournisseur d'accès à Internet avait des problèmes de sécurité du BGP. Les utilisateurs connectés à Belnet ont été informés que Belnet n'implémentait pas le BGP en toute sécurité.

L'outil est quelque peu trompeur, car cela ne signifie pas que le réseau de Belnet est moins sûr : l'implémentation de la RPKI empêche le routage des préfixes détournés par Belnet, mais elle n'empêchera pas le « détournement » des préfixes de Belnet (et de ses clients).

Autrement dit, le BGP ne deviendra plus sûr que si tous les fournisseurs d'accès à Internet implémentent la RPKI. Ils doivent tous signer numériquement leurs préfixes, contrôler la validité des préfixes reçus et refuser les préfixes non valides. C'est donc une question d'effort commun.

Belnet apporte sa contribution depuis 2013. En effet, tous les préfixes Belnet sont couverts par un ROA et nous sommes en train d'achever l'implémentation de la RPKI en filtrant les routes non valides qui entrent dans notre réseau.

Processus d'amélioration en continu

Chez Belnet, nous avons déjà pris de nombreuses mesures pour contribuer à la sécurité de l'Internet. Par exemple, nous avons également protégé notre réseau contre les attaques de type « spoofing » (envoi de paquets de données avec une fausse adresse d'expéditeur) (« BCP 38 »). Nous suivons de près les nouveaux développements sur le plan de la sécurité et évaluons comment nous pouvons les appliquer pour rendre notre réseau toujours plus sûr pour nos clients.

Copyright © 2020 Belnet.