Getty Images
Une partie du trafic Internet entrant et sortant de Twitter lundi a été brièvement acheminée vers la Russie après qu’un grand FAI de ce pays ait mal configuré la table de routage d’Internet, ont indiqué les services de surveillance du réseau.
L’incident a duré environ 45 minutes avant que RTCOMM, l’un des principaux FAI en Russie, ne cesse de présenter son réseau comme le moyen officiel pour les autres FAI de se connecter aux adresses IP Twitter largement utilisées. Même avant que RTCOMM n’abandonne l’annonce, des garanties empêchaient la plupart des grands FAI de se conformer à la directive de routage.
Une visualisation de ce à quoi ressemblait l’événement est illustrée sur cette page de BGPStream.
Rappelez-vous BGP
Le protocole de passerelle frontalière est le moyen par lequel les FAI d’une région géographique localisent et se connectent aux FAI d’autres zones. Le système a été conçu aux débuts d’Internet, lorsque les opérateurs d’un réseau connaissaient et faisaient confiance à leurs pairs exécutant d’autres réseaux. En règle générale, un ingénieur utilisait la table BGP pour « annoncer » que son réseau, appelé « système autonome » dans le langage BGP, était le bon chemin pour envoyer et recevoir du trafic vers des réseaux spécifiques.
Au fur et à mesure de la croissance d’Internet, BGP pouvait parfois devenir difficile à manier. Une mauvaise configuration dans un pays pourrait rapidement déborder et provoquer des pannes majeures ou d’autres problèmes. En 2008, par exemple, YouTube est devenu indisponible sur l’ensemble d’Internet à la suite d’une modification apportée par un FAI au Pakistan aux tables BGP. Le FAI avait essayé de bloquer YouTube à l’intérieur du Pakistan, mais n’avait pas fait attention dans la mise en œuvre du changement. L’année dernière, un FAI tentant de bloquer Twitter aux citoyens du Myanmar a fini par détourner la même plage d’adresses IP Twitter prise lors de l’événement de lundi, avec un résultat similaire.
Certaines erreurs de configuration BGP, cependant, sont considérées comme des actes intentionnels de malveillance. En 2013, des chercheurs ont révélé que d’énormes volumes de trafic Internet appartenant à des institutions financières, des agences gouvernementales et des fournisseurs de services réseau basés aux États-Unis avaient été détournés à plusieurs reprises vers des sites distants en Russie. Les circonstances inexpliquées ont alimenté les soupçons selon lesquels les ingénieurs de ce pays ont intentionnellement redirigé le trafic afin de pouvoir le surveiller ou le modifier subrepticement avant de le transmettre à la destination finale. Quelque chose de similaire s’est produit un an plus tard.
Des incidents BGP similaires ont redirigé à plusieurs reprises des quantités massives de trafic américain et européen vers la Chine dans des circonstances tout aussi suspectes. Les pirates motivés financièrement sont également connus pour utiliser le détournement de BGP pour prendre le contrôle des plages d’adresses IP souhaitables.
La censure au poing
Doug Madory, directeur de l’analyse Internet de la société d’analyse de réseau Kentik, a déclaré que le peu d’informations connues sur l’événement BGP de lundi suggère que l’événement est le résultat de la tentative du gouvernement russe d’empêcher les personnes à l’intérieur du pays d’accéder à Twitter. Probablement par accident, un FAI a fait en sorte que ces modifications s’appliquent à Internet dans son ensemble.
« Il existe plusieurs façons de bloquer le trafic vers Twitter », a expliqué Mory dans un e-mail. « Les télécoms russes sont seuls pour mettre en œuvre les blocages imposés par le gouvernement, et certains choisissent d’utiliser BGP pour supprimer le trafic vers certaines plages d’adresses IP. Tout réseau acceptant la route détournée enverrait son trafic vers cette plage d’espace IP Twitter en Russie… où il vient probablement d’être largué. Il est également possible qu’ils puissent faire un man-in-the-middle et laisser le trafic continuer vers sa bonne destination, mais je ne pense pas que ce soit ce qui s’est passé dans ce cas.
La prévalence des fuites et des détournements de BGP et des attaques de l’homme du milieu qu’ils rendent possibles souligne le rôle crucial que jouent HTTPS et d’autres formes de connexions cryptées dans la sécurisation d’Internet. La protection garantit que même si une partie malveillante prend le contrôle des adresses IP appartenant à Google, par exemple, la partie ne pourra pas créer une fausse page Google qui ne sera pas signalée comme ayant un certificat HTTPS valide.
Madory a déclaré que les protections connues sous le nom d’infrastructure à clé publique de ressources et d’autorisations d’origine de route, toutes deux conçues pour protéger l’intégrité des tables de routage BGP, empêchaient la plupart des FAI de suivre le chemin annoncé par RTCOMM. Au lieu de cela, les mesures affirmaient que AS13414 – le système autonome appartenant à Twitter – était l’origine légitime.
Cela ne signifie pas que tous les AS ont ignoré l’annonce. Mingwei Zhangingénieur réseau et fondateur de l’outil BGPKIT, a déclaré que les AS qui ont propagé la route comprenaient AS60068 (Royaume-Uni), AS8447 (Autriche), AS1267 (Italie), AS13030 (Suisse) et AS6461 (États-Unis).
Madory, quant à lui, a déclaré que les autres AS concernés étaient AS61955 (Allemagne), AS41095 (Royaume-Uni), AS56665 (Luxembourg), AS3741 (Afrique du Sud), AS8359 (Russie), AS14537 (États-Unis), AS22652 (Canada), AS40864 ( Canada), AS57695 (États-Unis), AS199524 (Luxembourg) et AS211398 (Allemagne). Certains de ces AS, cependant, sont connus sous le nom de collecteurs de routes, ce qui signifie qu’ils peuvent simplement avoir reçu la route défectueuse plutôt que de la propager.