Le BGP (Border Gateway Protocol) est un protocole généralement utilisé par les fournisseurs d’accès à Internet, les administrateurs des points d’échange (IXP) et les administrateurs de systèmes autonomes (AS) qui souhaitent mettre en œuvre leur propre conception et système de routage. Vous connaissez déjà le protocole si vous avez déjà effectuer une formation réseaux, concepts et mise en œuvre.
Cette formation à 19,99€ vous aidera à comprendre et à maitriser le BGP sur des routeurs Cisco : Mastering BGP in Depth on Cisco Routers.
En bref, le BGP achemine les informations de routage entre les réseaux reliés à internet et il nous aide à déterminer l’itinéraire emprunté par les données échangées sur internet.
Mais le protocole lui aussi peut être détourner comme tout autre protocole s’il n’est pas sécurisé de façon à garantir son authenticité, et il n’y a pas mieux qu’un exemple concret pour comprendre le problème associé au BGP :
Par exemple, Suite à une mauvaise configuration d’un serveur BGP, les données échangées par un utilisateur en France et tout son trafic peuvent passer par des serveurs en Asie pour accéder au site lemonde.fr, son fonctionnement devient donc un peu similaire au fonctionnement des VPN ou des passerelles pour rediriger du trafic pour une utilisation malveillante ou même pour détourner des DNS pour voler des données utilisateurs, le cas par exemple du détournement des DNS d’Amazon pour voler les portefeuilles de crypto monnaies.
Mais pour sécuriser le BGP, en général les FAI rajoutent une couche de cryptographie à clé publique au serveur, une sorte de validation de l’origine d’une requête, et c’est le RPKI pour assurer si l’itinéraire est légitime ou non.
Et c’est là que ce test de CloudFlare devient très intéressant, il vous permet au moins de savoir si votre FAI a déjà implémenté cette fonction de sécurité ou pas encore. En tant qu’internautes vous ne pouvez pas faire grand-chose à part de partager les résultats de ce test sur twitter ou ailleurs pour faire bouger ces derniers pour prendre en charge cette norme de sécurité.
Pour tester si votre FAI a déjà implémenté le RPKI, rendez-vous sur ce site de CloudFlare : https://isbgpsafeyet.com/
Et vous, votre FAI a-t-il déjà implémenté RPKI?