Pendant plus d’une heure au début du mois d’avril, de grands sites comme Google et Facebook ont bafouillé pour de grandes quantités de personnes. Le coupable n’était pas un hack ou un bug. Il y avait des problèmes avec la norme de routage de données Internet connue sous le nom de Border Gateway Protocol, qui avait permis à des quantités importantes de trafic Web de faire un détour inattendu par le biais d’une entreprise de télécommunications russe. Pour le PDG de Cloudflare, Matthew Prince, c’était la dernière goutte.
Perturbations BGP arrive fréquemment, généralement par accident. Mais BGP peut aussi être détourné pour espionnage à grande échelle, l’interception de données ou comme une sorte d’attaque par déni de service. La semaine dernière, les agences de la branche exécutive des États-Unis déplacé pour bloquer China Telecom n’offre pas de services aux États-Unis, en raison d’activités prétendument malveillantes qui incluent des attaques BGP. Des entreprises comme Cloudflare sont en première ligne du retour de flamme BGP. Et bien que l’entreprise ne puisse pas résoudre le problème directement, elle peut appeler ceux qui tardent à fournir des défenses.
Vendredi, la société a lancé BGP est-il encore sûr, Un site qui permet à quiconque de vérifier plus facilement si son fournisseur de services Internet a ajouté les protections et filtres de sécurité qui peuvent rendre BGP plus stable. Ces améliorations sont plus efficaces avec une large adoption par les FAI, les réseaux de diffusion de contenu comme Cloudflare et d’autres fournisseurs de cloud. Cloudflare estime que jusqu’à présent, environ la moitié de l’Internet est plus protégé grâce à de gros frappeurs comme AT&T, les télécoms suédois Telia et les télécoms japonais NTT adoptant des améliorations BGP. Et tandis que Cloudflare dit qu’il ne semble pas que l’incident de Rostelecom soit intentionnel ou malveillant, les télécoms russes ont une histoire d’ingérence BGP suspecte, et des problèmes similaires continueront d’apparaître jusqu’à ce que toute l’industrie soit à bord.
« Avec cette dernière fuite de route il y a quelques semaines en provenance de Russie, notre équipe d’ingénierie a dit que c’était assez, il est temps pour nous de commencer à nommer et à faire honte aux entreprises qui ne font pas cela correctement », explique PDG de Cloudflare Matthew Prince. « Tout ce qui se passe mal sur Internet nous est blâmé, ce qui est vrai! Nos clients nous paient pour nous assurer que leurs connexions Internet sont rapides, sécurisées et fiables. Donc, BGP est l’un de ces domaines vraiment frustrants que nous ne pouvons pas résoudre nous-mêmes. «
BGP est comme un service de cartographie GPS pour Internet, permettant aux FAI de choisir automatiquement les données d’itinéraire à prendre sur le vaste paysage de réseaux d’Internet. Mais vraiment BGP, c’est comme utiliser un service de cartographie GPS géré par vos proches. Le beau-père de ton cousin dit « oh, prends ce route. Ce sera rapide et sûr et vous passerez devant la maison avec les superbes décorations d’Halloween « , et vous n’avez qu’à lui faire confiance. S’il ne sait pas de quoi il parle – comme un FAI annonçant une mauvaise route BGP – vous pourrait finir coincé dans le trafic sans fin du centre commercial.
Les outils cryptographiques, les filtres de routage et les meilleures pratiques Cloudflare et d’autres organisations ont fait la promotion sont comme un sixième sens pour détecter quand vous recevez de mauvais conseils. Ils effectuent des vérifications réelles sur les routes BGP que d’autres IP «annoncent» ou proposent pour s’assurer qu’elles sont légitimes et que personne ne fait de publicité pour une route problématique.
Le BGP est-il sûr testez votre FAI en proposant un itinéraire légitime et non valide pour charger deux pages. Si votre FAI intercepte l’itinéraire non valide et charge uniquement la page sur l’itinéraire réel, il réussit le test. Mais s’il accepte les deux routes comme valides, votre FAI échouera, ce qui signifie qu’il n’a pas encore implémenté les protections BGP pour vérifier les mauvaises routes et les filtrer.
Même avec un grand nombre de services n’offrant toujours pas de protections BGP, vous pouvez toujours profiter de ceux qui le font. Prince explique que lors d’une perturbation comme l’incident des télécommunications russes, les FAI utilisant les meilleures pratiques BGP identifieraient le problème, souvent appelé «fuite de route», et le rejetteraient en faveur d’une route légitime. Donc, si votre Wi-Fi domestique provient de Comcast, qui n’a pas encore mis en œuvre les améliorations, et que vous obtenez vos données mobiles d’AT & T, ce qui est le cas, vous pourriez avoir des problèmes pour charger certains sites Web et services sur votre ordinateur portable lors d’un incident BGP, mais pourrait y accéder correctement depuis votre smartphone.
Vous n’avez probablement pas de ligne directe avec le PDG de votre FAI pour vous plaindre de son manque d’agitation sur les protections BGP. Cloudflare espère cependant que l’outil sensibilisera les consommateurs tout en offrant aux acteurs de l’industrie un moyen facile de voir et d’être vu.
« BGP est un protocole vieux de plus de 40 ans, c’est un miracle qu’Internet ait travaillé sur ce qui n’est vraiment qu’un système basé sur la confiance depuis aussi longtemps », a déclaré Prince. « De toute évidence, il est logique d’avoir plus de vérification, car tout le reste est de la folie. Et pourtant! Il a fallu beaucoup de temps pour que cela soit mis en œuvre.
Cette histoire est apparue à l’origine sur wired.com.