La Chine a été accusée d’avoir piraté le Border Gateway Protocol (BGP) afin d’effectuer une surveillance secrète, de type “homme-du-milieu”, visant des entreprises et des pays occidentaux.
Le Border Gateway Protocol détermine la manière dont le trafic est acheminé entre les sous-divisions d’Internet, appelées Systèmes Autonomes (AS). Il garantit que le trafic atteint les bons serveurs, signifiant ainsi que tout potentiel piratage à ce niveau est véritablement une mauvaise nouvelle !
Habituellement, il est extrêmement difficile de démontrer avec de solides preuves techniques ce qu’il s’est vraiment passé lorsque des Nations sont accusées d’activités malveillantes sur Internet.
Cela devrait être également le cas du piratage de ce Border Gateway Protocol, où des attaques délibérées peuvent être difficiles à distinguer d’une innocente mauvaise configuration du routeur.
Cependant, les auteurs de “China’s Maxim – Leave No Access Point Unexploited: The Hidden Story of China Telecom’s BGP Hijacking” ont analysé les données d’un système spécial de suivi du routage hébergé au sein de l’Université de Tel Aviv, capable de détecter des schémas inhabituels au niveau du Border Gateway Protocol de type “annonces“.
Depuis 2016, cette méthode les a aidés à identifier toute une série de routages inhabituels dont la durée et l’ampleur étaient trop cohérentes pour être qualifiées d’accidents.
Qu’est-ce qu’un détournement du Border Gateway Protocol exactement ?
L’illustration la plus connue serait le piratage du trafic de YouTube par l’Administration des Télécommunications du Pakistan (PTA) en 2008 afin de bloquer une vidéo litigieuse.
L’approche de la PTA, mise en œuvre d’ailleurs de manière médiocre, consistait à essayer de précipiter tout le trafic vers un sous-ensemble d’adresses IP appartenant à Google et donnant accès à la vidéo dans le pays.
Cette opération a été effectuée via le BGP, qui a annoncé que Pakistan Telecom était la route vers cette adresse, ce que d’autres routeurs BGP ont considéré comme plus spécifique, au niveau de l’adresse, que le routage normal de Google.
Les routeurs du BGP sont programmés pour favoriser cette spécificité et ainsi ce nouveau routage s’est perpétué au niveau de la plupart des sites internet.
Le résultat : YouTube est tombé globalement en panne pendant deux heures alors que tout son trafic était acheminé vers Pakistan Telecom pour finir dans une sorte de gouffre numérique.
Un accident peut-être, mais il existe d’autres incidents encore plus étranges, dont un impliquant China Telecom en 2010, dans lequel un BGP erroné a vu jusqu’à 15% du trafic Internet mondial acheminé via des Points De Présence (POP) contrôlés par l’entreprise.
Deuxième tentative
Les chercheurs affirment que China Telecom a essentiellement fait de même, en abusant le BGP afin d’acheminer le trafic Internet international via ses POP, dont huit sont situés aux États-Unis et deux au Canada.
Ces vols comprenaient des mois de “détournement” de routages entre le Canada et la Corée en 2016, entraînant des détours plus longs empruntés par le trafic, avant d’arriver en Chine et de terminer son voyage.
Ou encore le trafic des États-Unis vers une banque de Milan, en Italie, qui a été détourné via les POP de China Telecom d’une manière qui s’est faite remarquée car il n’est jamais arrivé !
Les chercheurs offrent plusieurs autres exemples, et concluent en disant :
On peut toujours affirmer que de telles attaques peuvent toujours être expliquées par un comportement “normal” du Border Gateway Protocol, mais elles suggèrent en particulier une intention malveillante, précisément en raison de leurs caractéristiques de transit inhabituelles, à savoir les routages plus longs et les durées anormales.
Le chiffrement TLS est un bon moyen de défense contre le détournement du BGP. En effet, il n’empêchera pas le réacheminement, mais si un individu transfère un trafic web, email ou DNS chiffré avec TLS via son protocole POP, il devrait être au final illisible !
En théorie, un attaquant peut toujours créer un certificat TLS, ce qui devrait nous inciter à utiliser des couches supplémentaires de sécurité TLS telles que HTTP Public Key Pinning (HPKP).
Mais peut-être que l’inquiétude, non avouée, concernant le détournement du BGP est que si la Chine le fait, alors peut-être que d’autres pays avec des ressources et des motivations similaires le font aussi. Un autre argument, s’il en fallait un de plus, pour tout chiffrer !
Des solutions plus essentielles au problème du BGP sont en cours, telles que le BGP ROV (Route Origin Validation), mais il se pourrait que cela prenne des années avant d’aboutir.
Si seulement les concepteurs du web ne l’avaient pas configuré avec la notion de confiance, supposée acquise et universelle !
Billet inspiré de China hijacking internet traffic using BGP, claim researchers, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.