Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Piratage du protocole BGP: le trafic redirigé vers la Russie

By:
Francis Ia
December 21, 2017

Ce 13décembre, le trafic entrant et sortant d'importants sites Internet a été brièvement redirigé vers un FAI russe, par un acteur inconnu. Pour les chercheurs, cette action à la fois suspecte et délibérée constitue probablement le signe avant-coureur d'une attaque.

D'après BGPMON, qui a détecté l'événement à partir de 4h43 (UTC), 80préfixes normalement annoncés par plusieurs grandes organisations ont été détectés dans les tables de routageBGP mondiales avec un AS (Autonomous System) d'origine39523 (DV-LINK-AS), émanant de Russie.

Ce comportement d'attaque n'a duré que six minutes et les chercheurs ignorent tout des motivations de cet incident. Il nous rappelle toutefois à quel point Internet est fragile et combien il est facile de l'exploiter.

La redirection du trafic Internet vers une adresse malveillante (par la corruption ou la manipulation des protocoles de routage Internet) est l'une des techniques utilisées pour exécuter des attaques man-in-the-middle ou pour usurper un site Web dans le but d'extorquer des identifiants ou d'autres informations sensibles.

En l'occurrence, l'attaque du 13décembre a exploité le protocole BGP (Border Gateway Protocol). Lors de ce type d'attaques, les cyberpirates surveillent le trafic Internet émanant de certains sites et le redirigent vers un système de leur propre réseau, utilisé comme point d'étranglement. Bien que peu fréquentes, certaines instances sont documentées surWikipedia, dont une tentative de vol de bitcoins en2014.

L'incident du 13décembre a affecté quelques-uns des plus grands sites Web, dont Google, Apple, Facebook, Microsoft, Twitch, NTTCommunications et Riot Games. Les utilisateurs de ces sites pensent que leurs communications sont sécurisées car elles emploient le chiffrement SSL/TLS sur HTTPS.

Malheureusement, les cyberpirates capables de manipuler BGP dans le cadre d'attaques man-in-the-middle peuvent manipuler ce chiffrement pour surveiller clandestinement les communications.

En mars2017,US-CERT a publié un avertissementindiquant qu'une interceptionHTTPS affaiblissait la sécuritéTLS. L'organisation conseillait aux entreprises utilisant des outils d'inspection HTTPS de vérifier qu'ils validaient correctement les chaînes de certificats et transmettaient les avertissements et erreurs au client.

La surveillance du trafic réseau via un point d'étranglement est une technique souvent utilisée par les entreprises et les gouvernements dans leurs propres réseaux. Par exemple, laChineutilise un périmètre appelé The Great Firewall (la Grande muraille virtuelle de Chine) pour rediriger et surveiller tout le trafic entrant et sortant du pays.

Les attaques man-in-the-middle utilisant BGP permettent aux cyberpirates de modifier le trafic Internet avant qu'il n'atteigne sa destination. Beaucoup pensent que les attaques de ce type sont utilisées pour l'espionnage industriel, l'espionnage entre États, mais aussi par des services de renseignement qui explorent les données Internet à l'insu des FAI.

Certes, la prévention de la manipulation du routage Internet est un problème du ressort des FAI. Les internautes peuvent cependant veiller à la sécurité de leurs sessions HTTPS personnelles à l'aide de l'épinglage de clés publiques HTTP.

L'épinglage de clés publiques (public key pinning) indique au navigateur Web d'associer une clé publique cryptographique à un serveur Web donnéeacute;, pour éviter les attaques man-in-the-middle exploitant des certificats contrefaits.

Le serveur Web fournit une liste de hachages de clés publiques, qui permet aux navigateurs de vérifier que le certificat qu'ils reçoivent est autorisé par le serveur Web avec lequel ils souhaitent communiquer. De cette façon, le navigateur Web d'un internaute peut déterminer si les communications ont été interceptées et s'il souhaite ou non poursuivre.

Pour en savoir plus sur le sujet, lisez le livre blanc How to detect malicious covert communications.Il explique comment exposer les communications d'attaque cachées, même dans le trafic chiffré, sans déchiffrement.

About the author

Francis Ia

Francis Ia is the senior security engineer at Vectra AI. Before joining Vectra, he was a solution consultant for Guidance Software. Prior to Guidance Software, he held a position as senior system engineer EMEA at Proofpoint. He received a masters in network & computing from Pierre and Marie Curie University.

Author profile and blog posts

Most recent blog posts from the same author

Cybersecurity

Piratage du protocole BGP: le trafic redirigé vers la Russie

December 21, 2017
Read blog post