← Tous les articles
Sécurité 6 min

RPKI et sécurité du routage : en finir avec les détournements BGP

BGP, le protocole qui fait tenir Internet, repose historiquement sur la confiance : quand un réseau annonce un préfixe, ses voisins le croient sur parole. Ce modèle a un défaut majeur — rien n'empêche, par erreur ou par malveillance, d'annoncer des adresses qui ne vous appartiennent pas. C'est l'origine des fuites de routes et des détournements (« hijacks ») qui, régulièrement, rendent des services inaccessibles ou détournent du trafic.

Le problème : des annonces que personne ne vérifie

Un détournement BGP survient quand un AS annonce un préfixe qu'il n'est pas autorisé à annoncer. Le trafic destiné à ces adresses peut alors être aspiré vers le mauvais réseau — parfois à l'autre bout du monde. Une simple faute de frappe dans une configuration a déjà suffi à rendre de grands services indisponibles pendant des heures.

RPKI et ROA : signer ses préfixes

La RPKI (Resource Public Key Infrastructure) apporte une réponse cryptographique. Le détenteur légitime d'un préfixe publie un ROA (Route Origin Authorization) : un enregistrement signé qui dit « le préfixe X peut être annoncé par l'AS Y ». Les opérateurs qui font de la validation d'origine (ROV) comparent chaque annonce reçue à ces ROA et rejettent celles qui sont « invalid ».

Concrètement, si vous détenez vos préfixes, créer vos ROA auprès de votre RIR (le RIPE NCC en Europe) est aujourd'hui une étape de sécurité de base — cela protège vos adresses contre les détournements accidentels ou malveillants.

MANRS : les bonnes pratiques collectives

L'initiative MANRS (Mutually Agreed Norms for Routing Security) formalise ce que devrait faire tout opérateur responsable :

  • Filtrer : n'accepter des clients et pairs que les préfixes qu'ils sont légitimement autorisés à annoncer.
  • Valider (RPKI) : rejeter les annonces invalides selon les ROA.
  • Anti-spoofing : empêcher l'émission de trafic à adresse source usurpée.
  • Coordination : maintenir des coordonnées à jour (PeeringDB, objets RIR) pour réagir vite.

Ce que vous devez exiger de votre opérateur

La sécurité du routage n'est pas qu'une affaire d'experts : elle conditionne la joignabilité de vos services. Demandez à votre opérateur s'il filtre les annonces de ses clients, s'il fait de la validation RPKI, et s'il vous aide à publier vos ROA. Chez Connect-IX, la sécurité du routage fait partie de l'exploitation de notre transit IP ; vous pouvez consulter nos annonces en temps réel via le Looking Glass et utiliser nos communautés BGP pour piloter vos préfixes.

Un projet réseau à concrétiser ?

Parlons de vos besoins — devis personnalisé sous 24 h, sans engagement.

Nous contacter