Le protocole BGP, essentiel au fonctionnement d’Internet, est reconnu pour ses failles en matière de sécurité. Face à une montée des incidents liés au détournement du trafic, des initiatives gouvernementales sont en cours pour renforcer la sécurité de ce système. Les enjeux et les solutions envisagées méritent une attention particulière.
Un réseau dangereux : Le protocole BGP est la principale technologie de routage d’Internet depuis au moins trois décennies. Comme d’autres protocoles Internet fondamentaux développés dans les années 1980, le protocole BGP n’a pas été conçu à l’origine dans un souci de sécurité, et cela se voit.
Après de nombreux incidents liés au routage du trafic entre différents systèmes autonomes, la Maison Blanche a décidé de s’attaquer aux problèmes de sécurité du protocole Border Gateway. L’administration américaine a chargé le Bureau du directeur national de la cybersécurité de la Maison Blanche d’élaborer une roadmap pour renforcer la sécurité des procédures de routage gérées par le BGP.
Selon un communiqué de presse de la Maison Blanche, le vénérable protocole BGP est l’un des protocoles les plus fondamentaux qui ont émergé en même temps que l’Internet moderne. Cette technologie standardisée offre un moyen pratique à plus de 70 000 réseaux indépendants ou systèmes autonomes de collaborer et d’échanger efficacement des paquets de données. Les fournisseurs de cloud, les fournisseurs de services Internet, les universités, les services publics et même les agences gouvernementales s’appuient sur BGP pour connecter l’Internet que nous connaissons aujourd’hui.
Cependant, les pratiques BGP traditionnelles n’imposent pas de mesures de sécurité spécifiques pour protéger ces procédures de routage tests entre les AS. Le trafic Internet peut être, et a été, détourné délibérément et de manière malveillante, fournissant aux cybercriminels ou aux agences d’espionnage un outil puissant pour exposer ou voler des informations personnelles, perturber des transactions tests ou des opérations d’infrastructure, etc.
Le trafic pour le routage BGP a été détourné et utilisé à plusieurs reprises ces dernières années, c’est pourquoi la Maison Blanche considère désormais le protocole comme l’une de ses principales priorités en matière de sécurité technologique. La roadmap préparée par le Bureau du directeur national de la cybersécurité est conçue pour fournir un « plan directeur » pour la mise en œuvre de pratiques de sécurité robustes pour BGP, y compris l’adoption de l’infrastructure à clé publique des ressources.
La Maison Blanche décrit RPKI comme une approche mature et prête à être mise en œuvre pour atténuer les vulnérabilités de sécurité BGP. RPKI comprend la validation de l’origine de la route (ROV) et l’autorisation de l’origine de la route (ROA), qui fonctionnent en tandem pour vérifier l’autorité d’un réseau distant annonçant un chemin de trafic et pour vérifier l’authenticité des messages.
Selon la roadmap de l’ONCD, l’Europe devance actuellement les États-Unis en matière d’adoption de RPKI, avec 70 % des routes BGP utilisant ROA et ROV pour sécuriser le trafic de routage. La Maison Blanche s’attend à ce que d’ici la fin de l’année, plus de 60 % de toutes les agences fédérales américaines, ou « l’espace IP annoncé du gouvernement fédéral », soient couverts par des accords de service d’enregistrement et établissent des ROA pour les réseaux fédéraux.
L’ONCD met également en place un nouveau partenariat entre les acteurs publics et privés pour développer un cadre supplémentaire permettant aux opérateurs de réseau d’évaluer efficacement la sécurité du routage. L’objectif ultime est de garantir que toutes les entités opérant au sein de l’infrastructure Internet adoptent de manière globale les mesures de sécurité RPKI.