Internet est une agrégation de plusieurs entités indépendantes. Pour que celles-ci puissent s’échanger des données, des transitaires et/ou des points d’échange, selon les cas, interviennent en les identifiant individuellement grâce à leur numéro d’opérateur unique de système autonome (Autonomous System - AS). Ces systèmes communiquent entre eux grâce au protocole Border Gateway Protocol (BGP) qui, en maintenant une base de données de routage, dirige le trafic sur les différentes routes proposées par les différents systèmes. Or, une même route peut être revendiquée par plusieurs systèmes autonomes. Ainsi, une entité dite « malveillante » peut, grâce à l’intégration de critères techniques de sélection de route performantes, prétendre être la source de la route et ainsi diriger illégitimement le trafic chez elle.
Opérant le réseau luxembourgeois pour la recherche et l’éducation, le système d’enregistrement des noms de domaine sous l’extension nationale.lu et le backbone du point d’échange Internet luxembourgeois LU-CIX sous le numéro AS2602, la Fondation Restena est exposée à ce problème. Pour y pallier, elle a implémenté le filtrage RPKI (Resource Public Key Infrastructure - infrastructure de clé publique de ressource) en février 2021.
Pour un Internet toujours plus sécurisé
Destinée à améliorer la sécurité du routage sur Internet, plus précisément à éviter l’aspiration de trafic (ou déviation des requêtes vers un opérateur non légitime) en certifiant la propriété des routes sur Internet, le filtrage RPKI est appliquée aux entrées et sorties des infrastructures pour protéger les informations entrantes ou sortantes de son réseau. Restena intègre le protocole RPKI depuis 2012, année où elle a commencé à signer l’ensemble de ses routes en partenariat avec l’association européenne RIPE (Réseaux IP Européens) qui délivre des certificats RPKI aux détenteurs de ressources. Depuis, les routes de Restena sont reconnaissables et valides pour tous réseaux ayant implémentés le filtrage RPKI.
C’est justement ce filtrage que Restena a mis en place en ce début d’année 2021. Grâce à lui, l’état de validité des annonces faites via le BGP par les différentes routes proposées sont analysées selon une certification de ressources RPKI. Ainsi, seules les routes dites valides selon le protocole RPKI ROA (Route Origin Authorizations) sont désormais acceptées par les infrastructures Restena, les routes invalides étant rejetés. Cependant, le RPKI n’étant pas appliqué par l’ensemble des opérateurs de télécommunication, de nombreuses routes ne peuvent encore être définies comme étant valides ou non-valides. Dans ce cas, la gestion classique de sélection de routes s’applique.
Un protocole à implémenter largement
RPKI est un protocole d’une dizaine d’année seulement. Depuis, cette initiative des opérateurs de télécommunications se déploie progressivement auprès des opérateurs partout dans le monde. Les routes ainsi signées, les piratages sont évités et les utilisateurs d’Internet sont assurés de joindre la bonne ressource, la bonne adresse IP.
Cependant, pour que cette protection soit pleinement efficace, l’implémentation du RPKI par l’ensemble des opérateurs de télécommunication est indispensable. Elle constitue la seule méthode existante à l’heure actuelle pour différencier une route légitime (amenant l’internaute vers la bonne adresse IP) d’une route illégitime (vers laquelle le trafic peut être détournée et tombée entre les mains de personnes malveillantes).