Introduction
De nos jours,Internet joue le même rôle dans la société que le système nerveux dans le corps humain. Il permet aux systèmes, ou aux utilisateurs, de rester connectés entre eux et de s’adapter aux mutations en cours. Tout ce processus est possible grâce au routage d’internet qui veille à ce que les données aillent où ils sont censés aller.
Ainsi le routage sur internet joue un rôle central dans le fonctionnement fiable du réseau. Il s’assure que les e-mails sont délivrés et parviennent aux bons destinataires, que les plateformes de commerce électronique demeurent opérationnelles et que les services de e-gouvernement demeurent disponibles pour les citoyens.
Mais force est de constater que la base du routage d’internet a des fissures qui se développent, engendrant chaque jour des dizaines d’incidents qui nuisent à la confiance numérique des utilisateurs, créant de réels dommages économiques et entravant le potentiel du réseau.
Dans cet article nous allons nous essayer à vous dépeindre un tableau sur les incidents de routage en Afrique en vous expliquant en premier lieu ce que c’est, ensuite vous présenter un panorama des incidents les plus courants, un état des lieux des incidents rencontrés en Afrique de l’ouest et enfin faire quelques propositions de solution.
Les Incidents de Routage
Le routage est la pratique de détermination du moyen de transporter les données d’un endroit à un autre par un ou des réseaux. Ainsi pour identifier ou annoncer un chemin, les réseaux utilisent un protocole (un ensemble de règles normalisées de formatage des données afin que tout ordinateur connecté puisse comprendre les données). Il en existe plusieurs mais le protocole BGP(Border Gateway Protocol) est celui qui est essentiellement utilisé sur internet.
Le BGP est utilisé au niveau de routeurs spécialisés appelés les annonceurs BGP. Ce protocole consiste en l’échange de chemins d’accès, c’est-à-dire de listes contenant les sous-réseaux pour lesquels le routeur propose du transit. Chaque sous-réseau, le plus souvent géré par une entreprise ou un fournisseur d’accès à Internet, est associé à un système autonome (abrégé « AS ») d’origine ainsi qu’à une liste d’AS qui ont été traversés (généralement des opérateurs de réseau). Chaque organisation qui dispose d’un AS a sa propre politique de routage. cf [wikipedia]
Chaque année des milliers d’incidents sont recensés sur ce protocole. Ces incidents de routage sont des mises à jour du BGP(Border Gateway Protocol) qui ont un impact négatif.
Ce système de routage d’Internet est vulnérable à de nombreuses menaces pour la sécurité, dont les plus courants sont:
- Détournements de préfixes,
- Fuites de routes ,
- Usurpation d’adresse IP.
- Détournements de Préfixes (Prefix Hijacks)
Le détournement de Préfixes est la redirection malicieusement du trafic Internet. Les pirates y parviennent en annonçant faussement la propriété de groupes d’adresse IP, appelés préfixes IP, qu’ils ne possèdent, ne contrôlent ou n’acheminent pas réellement. Ainsi elle ressemble beaucoup à un changement de panneaux de signalisation sur un tronçon d’autoroute et à une réorientation du trafic automobile vers des sorties incorrectes.
Conséquences du détournement
Le détournement de préfixes d’adresse IP a généralement des conséquences directes sur le fonctionnement d’Internet :
- Le trafic n’est plus routé vers le système autonome qui possède le préfixe détourné.
- Les serveurs du système autonome qui possède le préfixe détourné ne sont plus joignables.
- Le système autonome qui a détourné le préfixe reçoit le trafic correspondant : il peut donc analyser son contenu (essentiellement pour le trafic qui n’est pas chiffré).
- Le système autonome qui a détourné un grand nombre de préfixes peut provoquer une congestion sur son infrastructure ou celle de son fournisseur.
- Fuites de routes(Route leaks)
Selon le RFC 7908 une fuite de route est la propagation d’annonces de routage au-delà leur portée prévue. C’est-à-dire une annonce d’un organisme autonome. Le système (AS) d’une route BGP apprise vers un autre AS est en violation des politiques prévues du destinataire, de l’expéditeur et/ou de l’un des AS le long du chemin des AS précédent. Le champ d’application prévu est généralement défini par un ensemble de politiques locales de redistribution/filtrage répartis entre les AS impliqués. Souvent, ces politiques prévues sont définies en termes de relation d’affaires d’appairage par paires entre les AS (par exemple, client, fournisseur de transit, pair).
Conséquences d’une fuite de route
Le résultat d’une fuite de route peut être une redirection du trafic via un chemin involontaire qui peut permettre l’écoute clandestine ou l’analyse du trafic et peut ou non entraîner une surcharge ou un trou noir. Les fuites de route peuvent être accidentelles ou malveillantes, mais le plus souvent résulter d’un accident de mauvaise configuration.
- Usurpation d’adresse IP(IP Address Spoofing)
L’usurpation d’adresse IP est la création de plusieurs paquets IP avec une fausse adresse IP d’origine pour dissimuler l’identité de l’expéditeur ou usurper l’identité d’un autre système.
Conséquences d’une Usurpation d’adresse IP
Les conséquences de ce genre d’incidents peuvent être plus ou moins graves selon l’annonce qui est faite. Le réseau victime peut ainsi devenir injoignable pour tout ou partie de l’Internet. Ce type d’incidents peut également entraîner une redirection du trafic destiné au réseau victime vers le réseau ayant usurpé les préfixes.
Afrique de l’ouest: Les incidents de routage 2021
Pays |
Nombres totales d’incidents enregistré |
Détails du derniers Incidents de routage |
Bénin |
01
Erreurs d’acheminement
0
Fuites d’itinéraire
0
Annonces de bogon
1 |
À partir du 05/06/2021 00:02:00, une panne a été détectée sur l’ASN 28683 (BENIN TELECOM, BJ).Heure de début : 2021-06-05 00:02:00 UTC
Heure de fin : 05/06/2021 00:47:00 UTC
Nombre de préfixes concernés : 83 (100 %) |
Burkina Faso |
02
Erreurs d’acheminement
0
Fuites d’itinéraire
0
Annonces de bogon
2 |
À partir du 2021-03-11 11:01:00, nous avons détecté une panne pour le Burkina Faso.
Heure de début : 2021-03-11 11:01:00 UTC
Heure de fin : 2021-03-11 11:06:00 UTC
Nombre de préfixes affectés : 28 (20%) |
Côte d’Ivoire |
02
Erreurs d’acheminement
0
Fuites d’itinéraire
0
Annonces de bogon
1 |
|
Ghana |
14
Erreurs d’acheminement
1
Fuites d’itinéraire
1
Annonces de bogon
12 |
|
Nigéria |
14
Erreurs d’acheminement
0
Fuites d’itinéraire
0
Annonces de bogon
14 |
|
Sierra Léone |
02
Erreurs d’acheminement
0
Fuites d’itinéraire
0
Annonces de bogon
2 |
|
Tableau des incidents rencontrés en Afrique de l’ouest en 2021
ANNÉE |
2019 |
2020 |
2021 |
Nombres total d’incidents |
Total: 70
Erreurs d’acheminement
5
Fuites d’itinéraire
8
Annonces de bogon
57 |
Total: 107
Erreurs d’acheminement
7
Fuites d’itinéraire
10
Annonces de bogon
90 |
Total: 119
Erreurs d’acheminement
2
Fuites d’itinéraire
4
Annonces de bogon
113 |
Tableau des incidents rencontrées en afrique de 2019 à 2021
Ainsi en afrique de l’ouest jusqu’en Juin 2021 on compte 35 incidents sur le routage. En afrique nous pouvons remarquer l’évolution des incidents qui passent de 70 en 2019 à 119 en 2021 prouvant ainsi l’importance de la sécurité.
Le MANRS : La Solution
Pourquoi lui?
MANRS est une communauté composée d’opérateurs de réseau soucieux de la sécurité et qui partagent plusieurs convictions importantes. L’Internet Society soutient la communauté MANRS. Elle estime que l’initiative MANRS aide ses membres à améliorer leur position en matière de sécurité et à réduire à la fois le nombre et l’impact des incidents de routage. Voici trois caractéristiques des membres de MANRS :
- Ils se soucient de la sécurité du routage.
- Ils sont prêts à consacrer des ressources à la sécurité du routage.
- Ils sont prêts à être tenus responsables par la communauté.
Quelle approche offre-t-elle?
MANRS répond à ces menaces pour la sécurité en encourageant tous les acteurs d’Internet à adopter certaines mesures techniques et collaboratives pour rendre le système de routage plus résilient. Il est nécessaire de garantir que le trafic Internet est acheminé de manière fiable dans le monde entier. Cet aspect est considéré comme un élément essentiel pour un Internet sécurisé, mondial et digne de confiance. Par conséquent, il est important de renforcer le système de routage de base.
Les membres de MANRS estiment que le renforcement du système de routage de base peut être réalisé par :
- Les opérateurs de réseaux, les points d’échange Internet (IXP), les réseaux de diffusion de contenu (CDN), les fournisseurs de cloud appliquant les mesures de MANRS.
- Les entreprises exigent que ces mesures soient appliquées par leurs fournisseurs d’accès.
Notre recommandation aux FAI et aux IXP est de rejoindre la communauté MANRS afin de contribuer à un internet fiable et plus sûr.
Liens utiles: