Un opérateur de télécommunications russe détourne le trafic internet
Plus tôt cette semaine, le trafic destiné à plus de 200 des plus grands réseaux de distribution de contenu (CDN) et hébergeurs cloud du monde a été redirigé de manière suspecte via Rostelecom, le fournisseur d’accès internet d’Etat russe. L’incident a touché plus de 8 800 itinéraires de trafic internet provenant de plus de 200 réseaux, et a duré environ une heure.
Les entreprises concernées sont un “who’s who” du marché du Cloud et du CDN. On y trouve de grands noms comme Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner et Linode.
BGP signifie “Border Gateway Protocol” : c’est le système utilisé pour acheminer le trafic entre les réseaux internet à travers le monde. L’ensemble du système est extrêmement fragile car l’un des réseaux participants peut simplement “mentir” et publier une annonce (route BGP) affirmant que « les serveurs de Facebook » sont sur leur réseau, et toutes les entités internet le prendront comme légitime et enverront leur trafic à destination de Facebook vers les serveurs des auteurs de l’attaque.
Une lente progression
Autrefois, avant que le HTTPS ne soit largement utilisé pour chiffrer le trafic, les détournements BGP permettaient aux attaquants de lancer des attaques “man-in-the-middle” (MitM) et d’intercepter et de modifier le trafic internet. De nos jours, les détournements BGP sont toujours dangereux car ils permettent aux attaquants de stocker le trafic détourné et d’essayer de l’analyser et de le décrypter par la suite, profitant des avancées en matière de puissance de calcul et de l’affaiblissement des standards de chiffrement.
Les détournements BGP sont un problème pour la dorsale internet depuis le milieu des années 90, et des efforts pour renforcer la sécurité du protocole BGP sont en cours depuis des années, avec des projets comme ROV, RPKI et – plus récemment – MANRS.
Pourtant, les progrès dans l’adoption de ces nouveaux protocoles ont été lents, et les détournements de BGP continuent de se produire régulièrement. Par exemple, en novembre 2018, un petit FAI nigérian a détourné du trafic destiné au réseau de Google, tandis qu’en juin 2019, une grande partie du trafic mobile européen a été réacheminée via China Telecom, le plus grand opérateur de télécommunications appartenant à l’Etat chinois.
Rostelecom, un récidiviste
Les experts ont souligné à plusieurs reprises dans le passé que tous les détournements BGP ne sont pas malveillants. La plupart des incidents peuvent être le résultat d’un opérateur humain qui a mal tapé un ASN (numéro de système autonome, le code par lequel les entités internet sont identifiées) et détourné le trafic internet de cette entreprise par accident.
Cependant, certaines entités sont à l’origine de détournements de BGP sur une base régulière, et souvent sur des incidents que de nombreux experts qualifient de suspects, ce qui suggère qu’ils sont plus que de simples accidents. China Telecom est actuellement considéré comme le plus gros délinquant sur ce front [1, 2].
Bien qu’il ne soit pas impliqué dans des détournements BGP aussi courants que China Telecom, Rostelecom (AS12389) est également à l’origine de nombreux incidents suspects. Le dernier détournement majeur de Rostelecom qui a fait la une des journaux s’est produit en 2017 lorsque les opérateurs de télécommunications ont détourné des routes BGP pour certaines des plus grandes entités financières du monde, dont Visa, Mastercard, HSBC, etc.
A l’époque, la division BGPMon de Cisco décrivait l’incident comme « curieux », car il semblait avoir un impact uniquement sur les services financiers, plutôt que sur des ASN aléatoires.
Détournement intentionnel ou accident ?
Le fondateur de BGPMon, Andree Toonk, accorde au FAI russe le bénéfice du doute. Sur Twitter, Toont a déclaré qu’il pensait que le “détournement” s’était produit après qu’un système interne de mise en forme du trafic de Rostelecom aurait accidentellement annoncé des routes BGP incorrectes sur l’Internet public plutôt que sur le réseau interne de Rostelecom.
Malheureusement, cette petite erreur a été exacerbée lorsque les fournisseurs en amont de Rostelecom ont pris les routes BGP nouvellement annoncées et les ont retransmises sur Internet, amplifiant le détournement BGP en quelques secondes.
Mais, comme de nombreux experts d’Internet l’ont également souligné dans le passé, il est facile de faire passer un détournement intentionnel de BGP pour un accident, et personne ne pourrait faire la différence.
Les détournements de BGP qui se produisent dans des entités de télécommunications contrôlées par l’Etat dans des pays autocratiques comme la Chine et la Russie seront toujours considérés comme suspects – pour des raisons principalement politiques, plutôt que techniques.
Source : ZDNet.com
