Detournement BGP
Qu'est-ce que Detournement BGP ?
Detournement BGPAttaque dans laquelle un systeme autonome annonce des prefixes IP qu'il ne possede pas legitimement, attirant et potentiellement interceptant du trafic Internet mondial.
Le detournement BGP exploite l'absence d'authentification native du Border Gateway Protocol (RFC 4271) : chaque AS fait confiance aux annonces de prefixes de ses voisins. En annoncant le prefixe d'une victime (ou un plus specifique), un attaquant peut detourner le trafic vers son AS, le blackholer, l'inspecter ou repondre par des reponses forgees. Parmi les incidents marquants : la coupure mondiale de YouTube en 2008 due a un /24 annonce par Pakistan Telecom et le detournement d'AWS Route 53 en 2018 qui a derobe de l'Ethereum aux utilisateurs de MyEtherWallet. Les defenses combinent RPKI Route Origin Validation, ASPA pour la validation de chemin, BGPsec, filtres de prefixes, limites max-prefix, hygiene IRR/PeeringDB et surveillance continue de collecteurs publics comme RIPE RIS et RouteViews.
● Exemples
- 01
En 2008, Pakistan Telecom a annonce 208.65.153.0/24 et a place YouTube en blackhole mondial.
- 02
En 2018, des attaquants ont detourne des prefixes DNS d'AWS Route 53 et vole de l'Ethereum aux utilisateurs de MyEtherWallet.
● Questions fréquentes
Qu'est-ce que Detournement BGP ?
Attaque dans laquelle un systeme autonome annonce des prefixes IP qu'il ne possede pas legitimement, attirant et potentiellement interceptant du trafic Internet mondial. Cette notion relève de la catégorie Sécurité réseau en cybersécurité.
Que signifie Detournement BGP ?
Attaque dans laquelle un systeme autonome annonce des prefixes IP qu'il ne possede pas legitimement, attirant et potentiellement interceptant du trafic Internet mondial.
Comment fonctionne Detournement BGP ?
Le detournement BGP exploite l'absence d'authentification native du Border Gateway Protocol (RFC 4271) : chaque AS fait confiance aux annonces de prefixes de ses voisins. En annoncant le prefixe d'une victime (ou un plus specifique), un attaquant peut detourner le trafic vers son AS, le blackholer, l'inspecter ou repondre par des reponses forgees. Parmi les incidents marquants : la coupure mondiale de YouTube en 2008 due a un /24 annonce par Pakistan Telecom et le detournement d'AWS Route 53 en 2018 qui a derobe de l'Ethereum aux utilisateurs de MyEtherWallet. Les defenses combinent RPKI Route Origin Validation, ASPA pour la validation de chemin, BGPsec, filtres de prefixes, limites max-prefix, hygiene IRR/PeeringDB et surveillance continue de collecteurs publics comme RIPE RIS et RouteViews.
Comment se défendre contre Detournement BGP ?
Les défenses contre Detournement BGP combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Detournement BGP ?
Noms alternatifs courants : Detournement de prefixe, Hijack BGP.
● Termes liés
- network-security№ 093
Fuite de routes BGP
Propagation BGP non intentionnelle ou un systeme autonome annonce des routes en dehors de la relation commerciale prevue, derivant souvent du trafic mondial vers le mauvais AS.
- network-security№ 553
Adresse IP
Identifiant numerique attribue a une interface reseau pour le routage sur les reseaux IP : 32 bits en IPv4 (RFC 791) ou 128 bits en IPv6 (RFC 8200).
- network-security№ 168
Notation CIDR
La notation Classless Inter-Domain Routing exprime un prefixe IP comme une adresse suivie d'un slash et du nombre de bits significatifs, ex. 10.0.0.0/8.
- attacks№ 338
Détournement DNS
Attaque qui redirige la résolution DNS vers des réponses contrôlées par l'attaquant en modifiant les paramètres clients, la configuration du routeur, les réponses du résolveur ou les enregistrements DNS autoritaires.
- network-security№ 1136
TCP/IP
Suite de protocoles Internet en quatre couches qui definit comment les paquets sont adresses, routes, fragmentes et delivres de maniere fiable entre hotes sur des reseaux interconnectes.
- network-security№ 1112
Prise de controle de sous-domaine
Attaque ou un enregistrement DNS orphelin (souvent un CNAME) pointe vers une ressource cloud ou SaaS non revendiquee, permettant a un attaquant de la recreer et d'usurper le sous-domaine.