L’internet public a de nombreuses fonctions. C’est une connexion à faible coût pour les bureaux distants. C’est l’accès des étudiants à d’innombrables outils d’apprentissage publics. C’est le mécanisme de transmission du savoir mondial à nos appareils. C’est la ligne de vie de chaque entreprise vers ses clients.
Malgré tous les avantages qu’offre l’internet, nous sommes tous d’accord pour dire qu’il n’est pas sûr. Les fournisseurs d’accès à l’internet (FAI) du monde entier commencent à changer cette situation. Pour comprendre comment, passons rapidement en revue ce qui fait que l’internet ronronne.
L’internet est un réseau interconnecté de réseaux. Les réseaux interconnectés des plus grands fournisseurs d’accès à Internet (FAI) – les “Tier-1” – constituent la base de l’Internet. Un FAI de niveau 1 a accès à l’ensemble de l’internet sans avoir à payer pour Transit IP.
Ils le font par le biais du “peering”, qui établit des interconnexions inter-ISP sans règlement, utilisées pour faire passer le trafic d’un réseau à un autre nécessaire à la livraison du paquet. Ces accords sont volontaires, non rémunérés, mutuellement bénéfiques, bilatéraux, directs vers d’autres réseaux de niveau 1 ou stratégiques, et répondent aux besoins de leurs clients mutuels et de l’internet dans son ensemble.
Grâce à ces accords de “peering”, les fournisseurs de niveau 1 échangent et transmettent des données entre leurs réseaux, et les FAI plus petits achètent l’accès à l’internet auprès des fournisseurs de niveau 1. Les FAI de niveau 1 qui ont conclu des accords d’échange de trafic entre eux entretiennent leurs réseaux en garantissant toujours une largeur de bande suffisante pour prendre en charge le contenu et le trafic “oculaire” échangés entre eux.
L’internet ne fonctionnerait pas de manière aussi cohérente sans cette coopération interentreprises.
L’interconnexion par le biais du peering n’est que la première étape. L’étape suivante consiste à définir les règles d’échange des paquets, c’est-à-dire les modalités de routage. Tous les réseaux interconnectés échangent des paquets selon les règles définies par un protocole appelé BGP (Border Gateway Protocol), le système mondial de routage du trafic Internet.
BGP est l’un des principaux protocoles de l’internet. Mais il n’a pas été conçu dans un souci de sécurité.
Resource Public Key Infrastructure (RPKI) est une technologie “complémentaire” créée pour rendre le routage BGP plus sûr. Elle le fait en validant l’origine du trafic. RPKI permet aux opérateurs de réseaux de valider l’authenticité des annonces d’itinéraires BGP, de garantir leur validité et de rejeter l’annonce d’itinéraire lorsqu’elle provient d’une source non autorisée.
RPKI – Le “videur” d’Internet
RPKI surveille de plus près les annonces qui entrent dans le réseau d’un fournisseur d’accès à Internet, afin de s’assurer qu’elles sont autorisées.
Imaginez que vous êtes videur dans une boîte de nuit et qu’un invité se présente à la porte en revendiquant le statut de VIP. Vous commencez par lui demander son nom, vous l’obtenez et vous le comparez aux informations figurant sur votre liste d’invités VIP. Si son nom figure sur la liste des invités VIP, vous pouvez le laisser entrer.
Ou… comme dans le cas du RPKI, vous pouvez également exiger la preuve que la personne est bien celle qu’elle prétend être et lui demander une pièce d’identité correspondant aux informations figurant sur son laissez-passer VIP. L’invité n’est admis qu’après avoir présenté ces éléments et que ceux-ci aient été validés.
RPKI est le videur de l’Internet. Lorsque des réseaux revendiquent l’autorité d’annoncer des itinéraires (entrer dans le club), le videur valide l’autorité et l’identité à l’aide d’un laissez-passer VIP virtuel.
Ces laissez-passer VIP sont des certificats numériques publiés par les cinq registres Internet régionaux (RIR) mondiaux et attribués à chaque invité du club. Les cinq RIR sont AfriNIC (Afrique), APNIC (Asie-Pacifique), ARIN (Amérique du Nord), LACNIC (Amérique latine) et RIPE NCC (Europe, Moyen-Orient et Asie centrale). Les certificats sont publiés dans le RPKI (notre liste de contrôleurs).
Le RPKI compare ce certificat numérique aux informations contenues dans son système. Si ce laissez-passer numérique VIP est reconnu et signé par une autorité de confiance, l’accès est autorisé.
Comme l’ensemble de l’internet, le RPKI fait appel à la coopération pour travailler
La validation RPKI s’effectue dans les deux sens : par le réseau d’origine et par le réseau de destination. À l’instar du bon comportement volontaire du peering, RPKI exige également un bon comportement volontaire de la part des fournisseurs de services Internet (FSI) en peering afin de protéger tous les utilisateurs de l’internet. La protection offerte par la vérification de l’identité de l’origine prend tout son sens lorsque les réseaux “signent” ou identifient l’origine de leurs propres routes et lorsqu’ils valident l’origine du trafic destiné à leurs réseaux.
En tant que FAI de niveau 1, Zayo comprend la responsabilité de maintenir un peering sain, équilibré et bien distribué. Nous prenons également à cœur la responsabilité d’adopter des technologies telles que RPKI pour rendre l’ensemble de l’Internet plus sûr. Zayo est fier de faire partie des FAI de niveau 1 qui ont adopté cette technologie, d’abord en validant l’origine des routes du trafic entrant dans notre réseau, et plus tard cette année en “signant” – en créant et en attachant des signatures numériques à nos propres routes pour en garantir l’authenticité.
Au-delà de la base initiale de RPKI décrite ici, sa promesse ultime est encore à venir. Cette base est construite et est actuellement adoptée par les fournisseurs de services Internet du monde entier. Cette base donnera lieu à des améliorations futures, telles que les objets ASPA (Autonomous System Provider Authorization), l’ajout de chemins de systèmes autonomes (AS) et, à terme, BGPSec, dans lequel BGP inclura des annonces signées.
Plus précisément, que fait actuellement le RPKI ?
La technologie RPKI protège contre le détournement de route. Le détournement de route BGP est une attaque courante dans laquelle l’attaquant (un invité de club revendiquant le statut de VIP) annonce une fausse route (il présente une fausse carte d’identité ou un faux laissez-passer VIP, prétendant être ce qu’il n’est pas) afin de détourner le trafic vers le propre réseau de l’attaquant. Pourquoi faire cela ? Parce que le trafic détourné contient le type d’informations recherchées qui peuvent être utilisées à des fins malveillantes, telles que des numéros de compte, des mots de passe ou d’autres données personnelles.
Ces attaques ont des conséquences réelles.
Un détournement réussi :
En 2018, une attaque de grande ampleur a été lancée contre MyEtherWallet, un service de portefeuille de crypto-monnaies. Les attaquants ont pris le contrôle des routeurs BGP et ont pu rediriger le trafic destiné à MyEtherWallet vers un site de phishing hébergé par les propres serveurs des attaquants. Le site était identique à celui de MyEtherWallet, de sorte que les utilisateurs ne se doutaient pas qu’ils avaient été redirigés. Ils saisissaient leur nom d’utilisateur et leur mot de passe, ce qui permettait aux pirates d’accéder à leurs identifiants de connexion (et de voler leurs fonds). Si les itinéraires avaient été correctement validés à l’aide de RPKI, la redirection aurait été rejetée et le trafic aurait continué vers sa véritable destination.
Des détournements plus réussis :
Des attaques de détournement BGP très similaires ont eu lieu contre des “services de pontage” de crypto-monnaies en 2022 : Ronin Network (600 millions de dollars volés), Wormhole Network (325 millions de dollars volés) et Harmony Horizon Bridge (100 millions de dollars volés).
Outre les attaques cryptographiques lucratives évidentes, les pirates BGP ciblent également le trafic des FAI et des fournisseurs de DNS afin de rediriger les utilisateurs vers leurs propres serveurs. Pourquoi ? Pour contrôler l’accès à certains sites, pour intercepter, surveiller et décoder des informations sensibles dans le flux de trafic, ou simplement pour perturber le service Internet. Depuis 2020, plus de 1 400 incidents de détournement BGP ont été recensés, soit environ 14 par jour, et quelle que soit la raison de l’attaque, les attaquants semblent parvenir à leurs fins.
Les “détournements” accidentels – la dévastation d’une faute de frappe
Les redirections BGP ne sont pas toujours intentionnelles ou malveillantes. Les redirections BGP accidentelles sont appelées “fuites de routes” et peuvent se produire en raison d’erreurs de programmation humaines, de bogues dans les logiciels, de problèmes de configuration ou d’autres erreurs involontaires. Par exemple, en 2019, une grande partie du trafic Internet de Verizon a été accidentellement redirigée pour passer par les réseaux IP de l’un de ses clients. Ce client, un petit fabricant de métaux de Pennsylvanie, a vu son système rapidement submergé, et les utilisateurs IP de Verizon n’ont jamais atteint les destinations prévues.
Étant donné que le protocole BGP recherche toujours le routage le plus efficace sur l’internet, des erreurs accidentelles de codage ou autres peuvent rediriger de nombreux utilisateurs, provoquant des pannes généralisées, une dégradation des performances et des interruptions de voyage vers les destinations les plus populaires telles que Google, Facebook, YouTube, Amazon, Netflix et d’autres sites très fréquentés.
Comme le videur de notre club, RPKI fournit les garanties qui peuvent boucher les failles de sécurité de BGP. Que les redirections BGP soient intentionnelles ou accidentelles, RPKI veillera à ce que les FAI acheminent le trafic vers des destinations pré-approuvées, autorisées et valides.
Zayo’s s’investit dans la réussite de ses clients
Au cours des deux dernières années, Zayo a considérablement amélioré son réseau, garantissant ainsi sa performance à nos clients. Nous améliorons notre réseau, étendons sa portée et modernisons notre couche IP. Nos priorités étaient simples : étendre la couverture géographique, assurer la sécurité de nos clients et, en fin de compte, de leurs clients, tout en assurant la flexibilité de la bande passante de manière automatisée.
Le rôle de Zayo dans l’intégration de RPKI dans les fondations de l’Internet fait partie de cette stratégie globale de réseau. Une autre initiative consiste à exiger une authentification à deux facteurs pour toute modification de routage BGP demandée par les clients. Zayo est l’un des premiers fournisseurs d’accès à Internet à renforcer la sécurité BGP de cette manière.
En résumé, les dernières mises à jour du réseau IP de Zayo sont les suivantes :
- Statut d’IP de niveau 1
- Diverses voies de fibre optique longue distance et métropolitaine
- Protection DDoS service
- Notre adoption de la technologie RPKI
- Routeurs pré-configurés et prêts pour ASPA, la prochaine couche de sécurité de RPKI
- Un processus d’authentification à deux facteurs pour les demandes de changement BGP
Alors que l’Internet dans son ensemble devient plus sûr, Zayo est fier d’apporter la promesse d’une grande performance IP et d’une expérience plus sûre à la communauté mondiale de l’Internet.
