{"id":28271,"date":"2023-04-19T16:34:00","date_gmt":"2023-04-19T15:34:00","guid":{"rendered":"https:\/\/zayoeutrans.burbledev.com\/resources\/un-internet-public-securise-est-ce-possible\/"},"modified":"2026-05-07T18:03:13","modified_gmt":"2026-05-07T17:03:13","slug":"un-internet-public-securise-est-ce-possible","status":"publish","type":"resources","link":"https:\/\/zayoeutrans.burbledev.com\/fr\/resources\/un-internet-public-securise-est-ce-possible\/","title":{"rendered":"Un internet public s\u00e9curis\u00e9 ? Est-ce possible ?"},"content":{"rendered":"\n

L’internet public a de nombreuses fonctions. C’est une connexion \u00e0 faible co\u00fbt pour les bureaux distants. C’est l’acc\u00e8s des \u00e9tudiants \u00e0 d’innombrables outils d’apprentissage publics. C’est le m\u00e9canisme de transmission du savoir mondial \u00e0 nos appareils. C’est la ligne de vie de chaque entreprise vers ses clients. <\/p>\n\n

Malgr\u00e9 tous les avantages qu’offre l’internet, nous sommes tous d’accord pour dire qu’il n’est pas s\u00fbr. Les fournisseurs d’acc\u00e8s \u00e0 l’internet (FAI) du monde entier commencent \u00e0 changer cette situation. Pour comprendre comment, passons rapidement en revue ce qui fait que l’internet ronronne. <\/p>\n\n

L’internet est un r\u00e9seau interconnect\u00e9 de r\u00e9seaux. Les r\u00e9seaux interconnect\u00e9s des plus grands fournisseurs d’acc\u00e8s \u00e0 l’internet (FAI) – les “Tier-1” – constituent la base de l’internet. Un FAI de niveau 1 a acc\u00e8s \u00e0 l’ensemble de l’internet sans avoir \u00e0 payer pour le Transit IP. <\/p>\n\n

Ils le font par le biais du “peering”, qui \u00e9tablit des interconnexions inter-ISP sans r\u00e8glement, utilis\u00e9es pour faire passer le trafic d’un r\u00e9seau \u00e0 un autre n\u00e9cessaire \u00e0 la livraison du paquet. Ces accords sont volontaires, non r\u00e9mun\u00e9r\u00e9s, mutuellement b\u00e9n\u00e9fiques, bilat\u00e9raux, directs vers d’autres r\u00e9seaux de niveau 1 ou strat\u00e9giques, et r\u00e9pondent aux besoins de leurs clients mutuels et de l’internet dans son ensemble. <\/p>\n\n

Gr\u00e2ce \u00e0 ces accords de “peering”, les fournisseurs de niveau 1 \u00e9changent et transmettent des donn\u00e9es entre leurs r\u00e9seaux, et les FAI plus petits ach\u00e8tent l’acc\u00e8s \u00e0 l’internet aupr\u00e8s des fournisseurs de niveau 1. Les FAI de niveau 1 qui ont conclu des accords d’\u00e9change de trafic entre eux entretiennent leurs r\u00e9seaux en garantissant toujours une largeur de bande suffisante pour prendre en charge le contenu et le trafic “oculaire” \u00e9chang\u00e9s entre eux. <\/p>\n\n

L’internet ne fonctionnerait pas de mani\u00e8re aussi coh\u00e9rente sans cette coop\u00e9ration interentreprises. <\/p>\n\n

L’interconnexion par le biais du peering n’est que la premi\u00e8re \u00e9tape. L’\u00e9tape suivante consiste \u00e0 d\u00e9finir les r\u00e8gles d’\u00e9change des paquets, c’est-\u00e0-dire les modalit\u00e9s de routage. Tous les r\u00e9seaux interconnect\u00e9s \u00e9changent des paquets selon les r\u00e8gles d\u00e9finies par un protocole appel\u00e9 BGP (Border Gateway Protocol), le syst\u00e8me mondial de routage du trafic Internet. <\/p>\n\n

BGP est l’un des principaux protocoles de l’internet. Mais il n’a pas \u00e9t\u00e9 con\u00e7u dans un souci de s\u00e9curit\u00e9. <\/p>\n\n

Resource Public Key Infrastructure (RPKI) est une technologie “compl\u00e9mentaire” cr\u00e9\u00e9e pour rendre le routage BGP plus s\u00fbr. Elle le fait en validant l’origine du trafic. RPKI permet aux op\u00e9rateurs de r\u00e9seaux de valider l’authenticit\u00e9 des annonces d’itin\u00e9raires BGP, de garantir leur validit\u00e9 et de rejeter l’annonce d’itin\u00e9raire lorsqu’elle provient d’une source non autoris\u00e9e. <\/p>\n\n

\n
\n
\"\"<\/figure>\n<\/div>\n\n\n\n
\n

RPKI – Le “videur” d’Internet<\/h2>\n\n\n\n

RPKI surveille de plus pr\u00e8s les annonces qui entrent dans le r\u00e9seau d’un fournisseur d’acc\u00e8s \u00e0 Internet, afin de s’assurer qu’elles sont autoris\u00e9es. <\/p>\n\n\n\n

Imaginez que vous \u00eates videur dans une bo\u00eete de nuit et qu’un invit\u00e9 se pr\u00e9sente \u00e0 la porte en revendiquant le statut de VIP. Vous commencez par lui demander son nom, vous l’obtenez et vous le comparez aux informations figurant sur votre liste d’invit\u00e9s VIP. Si son nom figure sur la liste des invit\u00e9s VIP, vous pouvez le laisser entrer. <\/p>\n\n\n\n

<\/p>\n<\/div>\n<\/div>\n\n

Ou… comme dans le cas du RPKI, vous pouvez \u00e9galement exiger la preuve que la personne est bien celle qu’elle pr\u00e9tend \u00eatre et lui demander une pi\u00e8ce d’identit\u00e9 correspondant aux informations figurant sur son laissez-passer VIP. L’invit\u00e9 n’est admis qu’apr\u00e8s avoir pr\u00e9sent\u00e9 ces \u00e9l\u00e9ments et que ceux-ci aient \u00e9t\u00e9 valid\u00e9s. <\/p>\n\n

RPKI est le videur de l’Internet. Lorsque des r\u00e9seaux revendiquent l’autorit\u00e9 d’annoncer des itin\u00e9raires (entrer dans le club), le videur valide l’autorit\u00e9 et l’identit\u00e9 \u00e0 l’aide d’un laissez-passer VIP virtuel. <\/p>\n\n

Ces laissez-passer VIP sont des certificats num\u00e9riques publi\u00e9s par les cinq registres Internet r\u00e9gionaux (RIR) mondiaux et attribu\u00e9s \u00e0 chaque invit\u00e9 du club. Les cinq RIR sont AfriNIC (Afrique), APNIC (Asie-Pacifique), ARIN (Am\u00e9rique du Nord), LACNIC (Am\u00e9rique latine) et RIPE NCC (Europe, Moyen-Orient et Asie centrale). Les certificats sont publi\u00e9s dans le RPKI (notre liste de contr\u00f4leurs). <\/p>\n\n

Le RPKI compare ce certificat num\u00e9rique aux informations contenues dans son syst\u00e8me. Si ce laissez-passer num\u00e9rique VIP est reconnu et <\/em>sign\u00e9 par une autorit\u00e9 de confiance, l’acc\u00e8s est autoris\u00e9. <\/p>\n\n

Comme l’ensemble de l’internet, le RPKI fait appel \u00e0 la coop\u00e9ration pour travailler<\/h2>\n\n

La validation RPKI se fait dans les deux sens : par le r\u00e9seau d’origine et par le r\u00e9seau de destination. \u00c0 l’instar du bon comportement volontaire du peering, RPKI exige \u00e9galement un bon comportement volontaire de la part des fournisseurs de services Internet (FSI) en peering afin de prot\u00e9ger tous les utilisateurs de l’internet. La protection offerte par la v\u00e9rification de l’identit\u00e9 de l’origine prend tout son sens lorsque les r\u00e9seaux “signent” ou identifient l’origine de leurs propres routes et <\/em>lorsqu’ils valident l’origine du trafic destin\u00e9 \u00e0 leurs r\u00e9seaux. <\/p>\n\n

En tant que FAI de niveau 1, Zayo comprend la responsabilit\u00e9 de maintenir un peering sain, \u00e9quilibr\u00e9 et bien distribu\u00e9. Nous prenons \u00e9galement \u00e0 c\u0153ur la responsabilit\u00e9 d’adopter des technologies telles que RPKI pour rendre l’ensemble de l’Internet plus s\u00fbr. Zayo est fier de faire partie des FAI de niveau 1 qui ont adopt\u00e9 cette technologie, d’abord en validant l’origine des routes du trafic entrant dans notre r\u00e9seau, et plus tard cette ann\u00e9e en “signant” – en cr\u00e9ant et en attachant des signatures num\u00e9riques \u00e0 nos propres routes pour en garantir l’authenticit\u00e9. <\/p>\n\n

Au-del\u00e0 de la base initiale de RPKI d\u00e9crite ici, sa promesse ultime est encore \u00e0 venir. Cette base est construite et est actuellement adopt\u00e9e par les fournisseurs de services Internet du monde entier. Cette base donnera lieu \u00e0 des am\u00e9liorations futures, telles que les objets ASPA (Autonomous System Provider Authorization), l’ajout de chemins de syst\u00e8mes autonomes (AS) et, \u00e0 terme, BGPSec, dans lequel BGP inclura des annonces sign\u00e9es. <\/p>\n\n

Plus pr\u00e9cis\u00e9ment, que fait actuellement le RPKI ?<\/h2>\n\n

La technologie RPKI prot\u00e8ge contre le d\u00e9tournement de route. Le d\u00e9tournement de route BGP est une attaque courante dans laquelle l’attaquant (un invit\u00e9 de club revendiquant le statut de VIP) annonce une fausse route (il pr\u00e9sente une fausse carte d’identit\u00e9 ou un faux laissez-passer VIP, pr\u00e9tendant \u00eatre ce qu’il n’est pas) afin de d\u00e9tourner le trafic vers le propre r\u00e9seau de l’attaquant. Pourquoi faire cela ? Parce que le trafic d\u00e9tourn\u00e9 contient le type d’informations recherch\u00e9es qui peuvent \u00eatre utilis\u00e9es \u00e0 des fins malveillantes, telles que des num\u00e9ros de compte, des mots de passe ou d’autres donn\u00e9es personnelles. <\/p>\n\n

Ces attaques ont des cons\u00e9quences r\u00e9elles. <\/p>\n\n

\n
\n

Un d\u00e9tournement r\u00e9ussi :<\/h3>\n\n\n\n

En 2018, une attaque de grande ampleur<\/a> a \u00e9t\u00e9 lanc\u00e9e contre MyEtherWallet, un service de portefeuille de crypto-monnaies. Les attaquants ont pris le contr\u00f4le des routeurs BGP et ont pu rediriger le trafic destin\u00e9 \u00e0 MyEtherWallet vers un site de phishing h\u00e9berg\u00e9 par les propres serveurs des attaquants. Le site \u00e9tait identique \u00e0 celui de MyEtherWallet, de sorte que les utilisateurs ne se doutaient pas qu’ils avaient \u00e9t\u00e9 redirig\u00e9s. Ils saisissaient leur nom d’utilisateur et leur mot de passe, ce qui permettait aux pirates d’acc\u00e9der \u00e0 leurs identifiants de connexion (et de voler leurs fonds). Si les itin\u00e9raires avaient \u00e9t\u00e9 correctement valid\u00e9s \u00e0 l’aide de RPKI, la redirection aurait \u00e9t\u00e9 rejet\u00e9e et le trafic aurait continu\u00e9 vers sa v\u00e9ritable destination. <\/p>\n<\/div>\n\n\n\n

\n
\"\"<\/figure>\n<\/div>\n<\/div>\n\n

Des d\u00e9tournements plus r\u00e9ussis :<\/h3>\n\n

Des attaques de d\u00e9tournement BGP<\/a> tr\u00e8s similaires ont eu lieu contre des “services de pontage” de crypto-monnaies en 2022 : Ronin Network (600 millions de dollars vol\u00e9s), Wormhole Network (325 millions de dollars vol\u00e9s) et Harmony Horizon Bridge (100 millions de dollars vol\u00e9s).<\/p>\n\n

Outre les attaques cryptographiques lucratives \u00e9videntes, les pirates BGP ciblent \u00e9galement le trafic des FAI et des fournisseurs de DNS afin de rediriger les utilisateurs vers leurs propres serveurs. Pourquoi ? Pour contr\u00f4ler l’acc\u00e8s \u00e0 certains sites, pour intercepter, surveiller et d\u00e9coder des informations sensibles dans le flux de trafic, ou simplement pour perturber le service Internet. Depuis 2020, plus de 1 400 incidents de d\u00e9tournement BGP ont \u00e9t\u00e9 recens\u00e9s, soit environ 14 par jour, et quelle que soit la raison de l’attaque, les attaquants semblent parvenir \u00e0<\/a> leurs fins. <\/p>\n\n

Les “d\u00e9tournements” accidentels – la d\u00e9vastation d’une faute de frappe<\/h3>\n\n

Les redirections BGP ne sont pas toujours intentionnelles ou malveillantes. Les redirections BGP accidentelles sont appel\u00e9es “fuites de routes” et peuvent se produire en raison d’erreurs de programmation humaines, de bogues dans les logiciels, de probl\u00e8mes de configuration ou d’autres erreurs involontaires. Par exemple<\/a>, en 2019, une grande partie du trafic Internet de Verizon a \u00e9t\u00e9 accidentellement redirig\u00e9e pour passer par les r\u00e9seaux IP d’un de leurs clients. Ce client, un petit fabricant de m\u00e9taux de Pennsylvanie, a vu son syst\u00e8me rapidement submerg\u00e9, et les utilisateurs IP de Verizon n’ont jamais atteint les destinations pr\u00e9vues. <\/p>\n\n

\u00c9tant donn\u00e9 que le protocole BGP recherche toujours le routage le plus efficace sur l’internet, des erreurs accidentelles de codage ou autres peuvent rediriger de nombreux utilisateurs, provoquant des pannes g\u00e9n\u00e9ralis\u00e9es, une d\u00e9gradation des performances et des interruptions de voyage vers les destinations les plus populaires<\/a> telles que Google, Facebook, YouTube, Amazon, Netflix et d’autres sites tr\u00e8s fr\u00e9quent\u00e9s.<\/p>\n\n

Comme le videur de notre club, RPKI fournit les garanties qui peuvent boucher les failles de s\u00e9curit\u00e9 de BGP. Que les redirections BGP soient intentionnelles ou accidentelles, RPKI veillera \u00e0 ce que les FAI acheminent le trafic vers des destinations pr\u00e9-approuv\u00e9es, autoris\u00e9es et valides. <\/p>\n\n

Zayo’s s’investit dans la r\u00e9ussite de ses clients<\/h2>\n\n

Au cours des deux derni\u00e8res ann\u00e9es, Zayo a consid\u00e9rablement am\u00e9lior\u00e9 son r\u00e9seau, garantissant ainsi sa performance \u00e0 nos clients. Nous am\u00e9liorons notre r\u00e9seau, \u00e9tendons sa port\u00e9e et modernisons notre couche IP. Nos priorit\u00e9s \u00e9taient simples : \u00e9tendre la couverture g\u00e9ographique, assurer la s\u00e9curit\u00e9 de nos clients et, en fin de compte, de leurs clients, tout en assurant la flexibilit\u00e9 de la bande passante de mani\u00e8re automatis\u00e9e. <\/p>\n\n

Le r\u00f4le de Zayo dans l’int\u00e9gration de RPKI dans les fondations de l’Internet fait partie de cette strat\u00e9gie globale de r\u00e9seau. Une autre initiative consiste \u00e0 exiger une authentification \u00e0 deux facteurs<\/em> pour toute modification de routage BGP demand\u00e9e par les clients. Zayo est l’un des premiers fournisseurs d’acc\u00e8s \u00e0 Internet \u00e0 renforcer la s\u00e9curit\u00e9 BGP de cette mani\u00e8re. <\/p>\n\n

En r\u00e9sum\u00e9, les derni\u00e8res mises \u00e0 jour du r\u00e9seau IP de Zayo sont les suivantes :<\/p>\n\n