Le trafic destiné à plus de 200 des plus grands réseaux de distribution de contenu (CDN) et hébergeurs cloud au monde a récemment été redirigé via le fournisseur de télécommunications russe Rostelecom.

Bien que l’incident n’ait duré qu’une heure environ, il a affecté plus de 8 800 itinéraires de trafic Internet provenant de plus de 200 réseaux. Les entreprises touchées par le détournement de BGP comprennent Google, Amazon, Facebook, Akamai, Cloudflare, GoDaddy, Digital Ocean, Joyent, LeaseWeb, Hetzner, Linode et autres.

BGP (Border Gateway Protocol) est le système de facto utilisé pour acheminer le trafic Internet entre les réseaux Internet du monde entier. Cependant, le système présente une faille majeure car n’importe quel réseau participant peut mentir et publier une annonce (route BGP) dans laquelle il prétend que les serveurs d’autres sociétés sont sur son réseau. D’autres entités Internet verront l’annonce comme légitime et enverront ensuite tout le trafic d’une entreprise aux serveurs du pirate de l’air.

Avant que le HTTPS ne soit largement adopté, les détournements de BGP permettaient aux attaquants de lancer des attaques d’homme au milieu (MitM) et d’intercepter et de modifier le trafic Internet. De nos jours, les détournements BGP restent une menace car ils permettent à un attaquant de consigner le trafic afin de l’analyser et de le décrypter à une date ultérieure une fois que le cryptage utilisé pour le sécuriser a été rompu.

Selon les experts, tous les détournements BGP ne sont pas malveillants car ils peuvent souvent être le résultat d’un opérateur humain qui a mal saisi un ASN (numéro de système autonome) et détourné accidentellement le trafic Internet d’une entreprise. Cependant, certains télécoms continuent d’être régulièrement à l’origine des détournements de BGP, ce qui suggère qu’ils sont plus que de simples accidents.

China Telecom est actuellement derrière le plus de détournements BGP, mais Rostelecom est également derrière de nombreux incidents similaires suspects.

En 2017, le fournisseur de télécommunications d’État russe a détourné des itinéraires BGP pour certaines des plus grandes sociétés financières du monde, notamment Visa, Mastercard, HSBC et plus encore. La division BGPMon de Cisco a décrit l’incident comme «curieux» à ce moment-là, car il semblait avoir un impact uniquement sur les services financiers, par opposition aux ASN de rançon.

En ce qui concerne le dernier incident, le jury est toujours absent alors que le fondateur de BGPMon, Andree Toonk, a publié un post sur Twitter pour expliquer que le détournement peut avoir eu lieu après qu’un système interne de mise en forme du trafic de Rostelecom aurait accidentellement exposé les routes BGP incorrectes sur Internet public, en disant:

«Pour ce que ça vaut: je ne pense pas qu’ils avaient l’intention d’annoncer cela au reste du monde (détournement). Ce que nous avons vu ici, par accident, c’est qu’ils traitent ces (nouveaux plus spécifiques) préfixes spéciaux à l’intérieur de leur réseau. Probablement pour une sorte de raison “d’ingénierie du trafic”. »

Cependant, des experts ont souligné dans le passé qu’il était possible de faire apparaître un détournement intentionnel de BGP comme un accident, ce qui pourrait être le cas ici.

