Plus grave que la DNS, voici la faille BGP des routeurs.

Publié le 08 septembre 2008 par Vympel

Deux experts en sécurité réseau viennent de démontrer qu'il est aussi facile de détourner les flux réseaux qui transitent via les routeurs suivant le protocole de routage BGP (Border Gateway Protocol) le plus utilisé chez les fournisseurs d'accès Internet.

La logique de routage est l'un des piliers fondateurs des réseaux étendus à caractères planétaire tel que Internet; le principe du Hijacking (piratage) consiste à détourner les flux réseaux, les scanner, les modifier et enfin les retransmettre à leur destination finale. La méthode peut être utile surtout aux services d'espionnage électronique tel que la NSA pionnier du domaine et fer de lance du gouvernement US en tout ce qui concerne la sécurité informatique.

Expliqué par Anton Kepala, le phénomène est aussi simple que personne n'aurait eu l'idée d'y procéder. Le protocole BGP est si populaire du fait qu'il automatise la mise à jour des tables de routages (listes de routes reliées par des équipements réseaux) utilisés pour convoyer les flux de données, le mécanisme permet donc d'interroger en permanence les routeurs distants quant à la disponibilité de la route la plus courte pour acheminer les données. Par défaut « the router is always trusted » (le routeur est toujours cru), ce qui veut dire qu'une confiance absolu règne entre les routeurs utilisant le protocole BGP, si un routeur indique qu'il connait la route la plus courte il est cru sur parole et sans possibilité d'entamer une vérification quelconque. La méthode pratiquée est de diffuser dans le réseau des adresses IP de routeurs « pirates » qui indiquent toujours qu'ils possèdent l'itinéraire le moins couteux donc le plus court, cette tactique permettra de renvoyer les flux de données des sources ciblées vers « des carrefours » inconnus où ils seront traités, voir déformés pour enfin les redistribuer vers leurs destinations respectives.

D'après des experts en espionnage électronique, cette technique est assez populaire chez la NSA (National Security Agency), la version électronique de la CIA (Central Intelligence Agency), mais aussi chez d'autres agences gouvernementales d'intelligence électronique, surtout celles anglophones, qui forment avec la NSA une alliance stratégique pour le contrôle et le filtrage des communications (fréquences radio, Internet, téléphonie, communications militaires...etc.) sous le nom de code Echelon, un système global de monitoring des communications à l'échelle planétaire.

Alors qu'une démonstration a été présenté au cours de la conférence Defcon, la solution à cette faille grotesque résulte tout simplement en deux étapes; une première qui consiste à faire bosser encore plus les administrateurs réseau des FSI (Fournisseurs de Services Internet) afin qu'ils contrôlent et supervisent les tables de routages de leurs équipements réseau, et une seconde étape qui exige une remise à niveau des routeurs qui inclurait une sorte de certificat d'authentification afin de sécuriser les échanges d'informations entre les routeurs concernant les itinéraires des flux de données à acheminer.