Le BGP Hijacking est l'une des attaques les plus dévastatrices sur l'infrastructure Internet mondiale. Le protocole BGP (Border Gateway Protocol) — le "protocole de routage d'Internet" — fonctionne sur la confiance mutuelle entre opérateurs sans aucune authentification cryptographique native. Un attaquant capable d'annoncer de fausses routes BGP peut rediriger le trafic Internet de millions d'utilisateurs, intercepter des communications chiffrées (TLS via interception de la validation de certificats), voler des cryptomonnaies, ou rendre inaccessibles des services critiques. Ce guide technique couvre l'ensemble des attaques sur les protocoles de routage — BGP hijacking, BGP leak, OSPF exploitation et IS-IS attacks — avec les méthodologies d'exploitation, les outils d'attaque et les mécanismes de défense (RPKI, BGPsec, MANRS). Les architectes réseau, les opérateurs de transit et les équipes de sécurité réseau trouveront ici une référence technique complète.
En bref
- BGP : architecture, sessions eBGP/iBGP, AS-PATH et décision de routage
- BGP Hijacking : prefix hijacking, sub-prefix, AS-PATH prepending malveillant
- Cas réels : Pakistan/YouTube (2008), MyEtherWallet (2018), KlaySwap (2022)
- OSPF exploitation : rogue router, phantom LSA, area boundary manipulation
- Défenses : RPKI/ROA, BGPsec, IRR filtering, MANRS et BGP Flowspec
BGP : Architecture du Routage Internet
Internet est un réseau de réseaux — chaque réseau autonome (AS — Autonomous System) est identifié par un numéro unique (ASN). BGP est le protocole qui permet aux AS d'échanger leurs informations de routage : chaque AS annonce les préfixes IP qu'il possède ou qu'il peut atteindre. Les routeurs BGP sélectionnent le meilleur chemin vers chaque préfixe selon un algorithme de décision multicritère (préférence locale, AS-PATH length, MED, etc.).
| Concept | Description | Exploitation |
|---|---|---|
| AS (Autonomous System) | Réseau géré par une seule entité | Usurpation d'ASN |
| Prefix announcement | Annonce d'un bloc IP par un AS | Fausse annonce de préfixes |
| AS-PATH | Liste des AS traversés | PATH prepending malveillant |
| eBGP/iBGP | Sessions entre/dans les AS | Peering non autorisé |
| Route selection | Choix du meilleur chemin | Sub-prefix (plus spécifique gagne) |
Prefix Hijacking : L'Attaque Classique
Le prefix hijacking consiste à annoncer un préfixe IP qui appartient à un autre AS. Le routeur de l'attaquant annonce, par exemple, le préfixe 1.2.3.0/24 appartenant à la victime. Les routeurs BGP voisins propagent cette annonce, et le trafic destiné à 1.2.3.0/24 est progressivement redirigé vers l'attaquant. La variante la plus efficace est le sub-prefix hijack : annoncer un préfixe plus spécifique (1.2.3.0/25) que celui de la victime (1.2.3.0/24). En BGP, le préfixe le plus spécifique (longest prefix match) gagne toujours.
Cas Réels de BGP Hijacking
- Pakistan Telecom / YouTube (2008) : Pakistan Telecom a annoncé 208.65.153.0/24 (YouTube) pour bloquer YouTube au Pakistan. L'annonce s'est propagée mondialement, rendant YouTube inaccessible pendant 2 heures pour des millions d'utilisateurs.
- MyEtherWallet (2018) : des attaquants ont détourné les préfixes IP d'Amazon Route 53 DNS via BGP hijacking, redirigeant les requêtes DNS de MyEtherWallet vers un faux site. ~17 millions de dollars en Ethereum ont été volés.
- KlaySwap (2022) : BGP hijacking ciblant les serveurs d'une plateforme DeFi coréenne, permettant l'injection de code malveillant dans les réponses API et le vol de tokens.
- China Telecom (régulier) : des études ont documenté des détournements réguliers de trafic via les AS de China Telecom, affectant des préfixes militaires et gouvernementaux américains.
BGP Interception : Man-in-the-Middle à Échelle Internet
Le BGP interception est une variante plus sophistiquée du hijacking : au lieu de simplement attirer le trafic (et interrompre la connectivité), l'attaquant redirige le trafic vers lui-même puis le re-route vers la destination légitime. Le résultat : un man-in-the-middle transparent à l'échelle d'Internet. L'attaquant peut inspecter le trafic non chiffré, enregistrer les métadonnées de connexion, et potentiellement attaquer les connexions TLS via des certificats forgés (si l'attaquant contrôle une CA).
OSPF Exploitation : Attaques Internes
OSPF (Open Shortest Path First) est le protocole de routage interne (IGP) le plus déployé dans les réseaux d'entreprise. Contrairement à BGP, OSPF distribue l'intégralité de la topologie du réseau (Link State Database). Un attaquant ayant compromis un routeur OSPF ou pouvant injecter des paquets OSPF peut :
- Phantom Router LSA : annoncer un routeur fictif avec des liens optimaux, redirigeant le trafic
- Rogue Router : joindre le domaine OSPF en usurpant un Router ID et annoncer de fausses routes
- Max-Age LSA Attack : injecter des LSA avec un age maximum pour forcer leur suppression du réseau
- Area boundary manipulation : exploiter les résumés inter-area pour rediriger le trafic entre les zones OSPF
RPKI/ROA : La Défense Principale
Le RPKI (Resource Public Key Infrastructure) est le mécanisme de défense principal contre le BGP hijacking. Il crée une base de données cryptographiquement signée liant les préfixes IP aux AS autorisés à les annoncer. Un ROA (Route Origin Authorization) est un objet signé par le titulaire du préfixe, déclarant quel AS est autorisé à l'annoncer et la longueur maximale du préfixe.
Les routeurs BGP valident les annonces contre les ROA : une annonce dont l'origine AS ne correspond pas au ROA est marquée comme Invalid et peut être rejetée. Le déploiement du RPKI progresse : ~50% des préfixes IPv4 ont un ROA en 2026, mais seuls ~30% des opérateurs rejettent activement les routes Invalid.
route-map RPKI-FILTER deny 10 match rpki invalid).À retenir
- BGP fonctionne sur la confiance mutuelle SANS authentification — n'importe quel AS peut annoncer n'importe quel préfixe
- Le sub-prefix hijack (préfixe plus spécifique) gagne TOUJOURS en BGP — aucune configuration ne peut l'empêcher sans RPKI
- Le BGP interception permet un MitM à l'échelle d'Internet avec re-routage transparent vers la destination
- RPKI/ROA protège contre l'usurpation d'origine mais pas contre la manipulation de l'AS-PATH
- OSPF sans authentification MD5/SHA permet l'injection de routes fictives dans le réseau interne
FAQ — Questions Fréquentes
Le BGP hijacking est-il fréquent ?
Oui, des incidents BGP sont détectés quotidiennement. La plupart sont des erreurs de configuration (route leaks) plutôt que des attaques intentionnelles, mais les deux ont le même impact. BGPStream de CAIDA détecte des milliers d'anomalies BGP par an. Les attaques intentionnelles ciblant les cryptomonnaies et les services financiers sont en augmentation.
Comment détecter un BGP hijacking ciblant mon réseau ?
Utilisez les services de monitoring BGP : BGPStream (CAIDA), RIPE RIS, BGPmon, Kentik. Configurez des alertes pour vos préfixes et vos ASN. Vérifiez régulièrement les looking glasses (RIPE, RouteViews) pour voir comment vos préfixes sont propagés. Déployez RPKI avec des ROA pour permettre la validation par les routeurs tiers.
RPKI est-il suffisant pour protéger contre le BGP hijacking ?
RPKI protège contre le prefix origin hijacking (fausse attribution d'un préfixe à un AS) mais PAS contre les path manipulation attacks ni les route leaks. BGPsec (signature de l'AS-PATH complet) résoudrait ces problèmes mais n'est quasiment pas déployé. En pratique, RPKI + filtrage IRR + peer locking couvrent la majorité des scénarios d'attaque.
Besoin d'un accompagnement expert ?
Nos consultants spécialisés en sécurité réseau et infrastructure vous accompagnent dans l'évaluation de votre posture de sécurité.
Contactez-nousTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire