Assez régulièrement lors d’une panne IT, la question d’un problème de routage se pose rapidement avec un coupable souvent tout désigné BGP (Border Gateway Protocol). Le protocole de routage réseau est connu pour les mauvaises configurations ou le détournement de trafic. Des faiblesses que l’Office of the National Cyber Director (ONCD) agence rattachée à la Maison Blanche souhaite remédier. Elle vient de publier une feuille de route dans ce sens. « Les propriétés initiales de BGP ne répondent pas de manière adéquate aux menaces et aux exigences de résilience de l'écosystème de l'internet d'aujourd'hui », indique l’agence. Avant d’ajouter, « le risque d'une perturbation généralisée de l'infrastructure de l'internet, qu'elle soit accidentelle ou malveillante, est un problème de sécurité nationale ».
Cette feuille de route fait suite à une recommandation formulée par la FCC (Federal Communication Commission) selon laquelle neuf grands fournisseurs de services Internet américains devraient déposer des rapports détaillant leurs progrès en matière de sécurisation de BGP. Parmi les bonnes pratiques, l’ONCD milite pour que les agences fédérales et les opérateurs de réseaux se dépêchent de mettre en œuvre un système de cryptographie à clé publique, Resource Public Key Infrastructure (RPKI).
Un peu d’histoire
En 1989, l'année où l'informaticien britannique Tim Berners-Lee est passé à la postérité en inventant le langage HTML, les liens hypertextes et le web, deux ingénieurs d'IBM, Yakov Rekhter et Kirk Lougheedont ont conçu le protocole BGP pendant leur pause déjeuner, au dos d'une serviette de table (d'où son surnom ultérieur de « protocole à deux serviettes »). Malheureusement, personne à l'époque ne pensait que la sécurité était une question importante, ce qui explique pourquoi les ingénieurs ont essayé de l'intégrer au web et au protocole BGP depuis lors.
BGP est le protocole sans lequel l'internet ne serait pas possible. Il permet aux paquets de trouver un chemin à travers un large maillage d'autres réseaux interconnectés et d'atteindre la bonne destination. Cette tâche est complexe et nécessite à la fois un routage multi-trajet (c'est-à-dire différentes façons d'atteindre une destination pour tenir compte de problèmes tels que la congestion) et l'utilisation d'algorithmes qui proposent aux routeurs de choisir le meilleur trajet à un moment donné.
Le RPKI une bonne pratique qui a du mal à se mettre en place
Quand BGP fonctionne, personne ne le remarque. Quand ce n’est pas le cas, les choses peuvent empirer rapidement. Il s’agit souvent d’erreurs de configuration, cela a été le cas pour Microsoft en janvier 2023. Idem en juin 2019 pour un petit FAI de Pennsylvanie qui avait annoncé par inadvertance des routes BGP directes pour atteindre Amazon et Cloudflare. Une ruée de trafic s’en est suivie et un engorgement a provoqué une panne massive.
Le problème sous-jacent était que BGP n'avait aucun moyen de vérifier quels réseaux étaient autorisés à annoncer quels blocs d'adresses. Des mécanismes plus récents basés sur RPKI, appelés Route Origin Authorization (ROA) et Route Origin Validation (ROV), tentent de résoudre cette problématique. Ils vérifient qu'un réseau a le droit d'annoncer une route avant de recevoir des paquets. Il est ainsi beaucoup plus difficile d'annoncer de manière malveillante des itinéraires de routage pour détourner le trafic. Ces deux techniques ont leurs limites, mais elles constituent un bon point de départ largement accepté. Mais, comme toujours dans les comités Internet, les choses prennent beaucoup de temps à se mettre en place, même avec des mandats de la Maison Blanche.
L’ONCD fixe des contraintes
L’agence rattachée à la Maison Blanche a déclaré que d’ici la fin de l’année, elle s’attend à ce que 60% de l’espace IP du gouvernement fédéral soit couvert par des accords de service d’enregistrement (RSA) nécessaires à l’établissement des ROA. Malgré cela, la feuille de route identifie plusieurs obstacles qui ralentissent la révision de BGP à long terme. L'un d'eux est que les effets négatifs de son insécurité ne sont souvent pas ressentis directement par les fournisseurs de services pour lesquels l'investissement n'offre pas de retour financier direct. Le fait que certains opérateurs devront également remplacer ou mettre à niveau leurs routeurs pour qu'ils soient compatibles avec ROV n'est pas non plus une bonne chose.
L'ONCD conseille aux FAI de vérifier les effets techniques que la mise en œuvre de la ROA et de la ROV pourrait avoir sur leur organisation et d'inclure la question de la sécurité BGP dans l'évaluation des risques de cybersécurité. Les recommandations complètes s'étendent sur plusieurs points, qui détaillent également la manière dont les FAI devraient établir des contrats pour le transit IP, le cloud et l'infrastructure. Le message général est clair : les fournisseurs de services devraient surveiller la qualité et le profil de menace de leur configuration BGP plutôt que de laisser d'autres personnes nettoyer le désordre.
Une démarche en solitaire
Notre confrère de Networkworld a interrogé Kieren McCarthy, expert en matière d'Internet et ancien journaliste sur les propositions de l’ONCD. Si le jugement est positif, il émet quelques réserves. « Ce qui est un peu inquiétant, c'est que le gouvernement américain semble faire cavalier seul, allant même jusqu'à créer un nouveau groupe de travail dont il n'a pas annoncé les membres », observe-t-il. Tout en ajoutant, « L'internet reste un réseau mondial, et le gouvernement américain devrait joindre le geste à la parole et soutenir le modèle international multipartite pour trouver des solutions aux problèmes de l'internet ».
Il a fait remarquer que la feuille de route était complémentaire des groupes existants tels que le Mutually Agreed Norms for Routing Security (MANRS), une initiative mondiale ayant le même objectif de sécuriser les menaces de routage. « Je me demande pourquoi ils ont ressenti le besoin de développer leur propre approche », s’interroge Kieren McCarthy.
Commentaire