Le BGP Hijacking est l'une des attaques les plus dévastatrices sur l'infrastructure Internet mondiale. Le protocole BGP (Border Gateway Protocol) — le "protocole de routage d'Internet" — fonctionne sur la confiance mutuelle entre opérateurs sans aucune authentification cryptographique native. Un attaquant capable d'annoncer de fausses routes BGP peut rediriger le trafic Internet de millions d'utilisateurs, intercepter des communications chiffrées (TLS via interception de la validation de certificats), voler des cryptomonnaies, ou rendre inaccessibles des services critiques. Ce guide technique couvre l'ensemble des attaques sur les protocoles de routage — BGP hijacking, BGP leak, OSPF exploitation et IS-IS attacks — avec les méthodologies d'exploitation, les outils d'attaque et les mécanismes de défense (RPKI, BGPsec, MANRS). Les architectes réseau, les opérateurs de transit et les équipes de sécurité réseau trouveront ici une référence technique complète.

\\n

En bref

  • BGP : architecture, sessions eBGP/iBGP, AS-PATH et décision de routage
  • BGP Hijacking : prefix hijacking, sub-prefix, AS-PATH prepending malveillant
  • Cas réels : Pakistan/YouTube (2008), MyEtherWallet (2018), KlaySwap (2022)
  • OSPF exploitation : rogue router, phantom LSA, area boundary manipulation
  • Défenses : RPKI/ROA, BGPsec, IRR filtering, MANRS et BGP Flowspec
\\n
BGP Hijacking — Attaque consistant à annoncer de fausses routes BGP pour rediriger le trafic Internet vers l'attaquant. Le trafic détourné peut être intercepté (man-in-the-middle), analysé, modifié, ou simplement jeté (déni de service). L'attaque exploite l'absence d'authentification dans le protocole BGP.
\\n

BGP : Architecture du Routage Internet

\\n

Internet est un réseau de réseaux — chaque réseau autonome (AS — Autonomous System) est identifié par un numéro unique (ASN). BGP est le protocole qui permet aux AS d'échanger leurs informations de routage : chaque AS annonce les préfixes IP qu'il possède ou qu'il peut atteindre. Les routeurs BGP sélectionnent le meilleur chemin vers chaque préfixe selon un algorithme de décision multicritère (préférence locale, AS-PATH length, MED, etc.).

\\n\\n\\n\\n\\n\\n\\n\\n\\n
ConceptDescriptionExploitation
AS (Autonomous System)Réseau géré par une seule entitéUsurpation d'ASN
Prefix announcementAnnonce d'un bloc IP par un ASFausse annonce de préfixes
AS-PATHListe des AS traversésPATH prepending malveillant
eBGP/iBGPSessions entre/dans les ASPeering non autorisé
Route selectionChoix du meilleur cheminSub-prefix (plus spécifique gagne)
\\n

Prefix Hijacking : L'Attaque Classique

\\n

Le prefix hijacking consiste à annoncer un préfixe IP qui appartient à un autre AS. Le routeur de l'attaquant annonce, par exemple, le préfixe 1.2.3.0/24 appartenant à la victime. Les routeurs BGP voisins propagent cette annonce, et le trafic destiné à 1.2.3.0/24 est progressivement redirigé vers l'attaquant. La variante la plus efficace est le sub-prefix hijack : annoncer un préfixe plus spécifique (1.2.3.0/25) que celui de la victime (1.2.3.0/24). En BGP, le préfixe le plus spécifique (longest prefix match) gagne toujours.

\\n

Cas Réels de BGP Hijacking

\\n
    \\n
  • Pakistan Telecom / YouTube (2008) : Pakistan Telecom a annoncé 208.65.153.0/24 (YouTube) pour bloquer YouTube au Pakistan. L'annonce s'est propagée mondialement, rendant YouTube inaccessible pendant 2 heures pour des millions d'utilisateurs.
  • \\n
  • MyEtherWallet (2018) : des attaquants ont détourné les préfixes IP d'Amazon Route 53 DNS via BGP hijacking, redirigeant les requêtes DNS de MyEtherWallet vers un faux site. ~17 millions de dollars en Ethereum ont été volés.
  • \\n
  • KlaySwap (2022) : BGP hijacking ciblant les serveurs d'une plateforme DeFi coréenne, permettant l'injection de code malveillant dans les réponses API et le vol de tokens.
  • \\n
  • China Telecom (régulier) : des études ont documenté des détournements réguliers de trafic via les AS de China Telecom, affectant des préfixes militaires et gouvernementaux américains.
  • \\n
\\n

BGP Interception : Man-in-the-Middle à Échelle Internet

\\n

Le BGP interception est une variante plus sophistiquée du hijacking : au lieu de simplement attirer le trafic (et interrompre la connectivité), l'attaquant redirige le trafic vers lui-même puis le re-route vers la destination légitime. Le résultat : un man-in-the-middle transparent à l'échelle d'Internet. L'attaquant peut inspecter le trafic non chiffré, enregistrer les métadonnées de connexion, et potentiellement attaquer les connexions TLS via des certificats forgés (si l'attaquant contrôle une CA).

\\n

OSPF Exploitation : Attaques Internes

\\n

OSPF (Open Shortest Path First) est le protocole de routage interne (IGP) le plus déployé dans les réseaux d'entreprise. Contrairement à BGP, OSPF distribue l'intégralité de la topologie du réseau (Link State Database). Un attaquant ayant compromis un routeur OSPF ou pouvant injecter des paquets OSPF peut :

\\n
    \\n
  • Phantom Router LSA : annoncer un routeur fictif avec des liens optimaux, redirigeant le trafic
  • \\n
  • Rogue Router : joindre le domaine OSPF en usurpant un Router ID et annoncer de fausses routes
  • \\n
  • Max-Age LSA Attack : injecter des LSA avec un age maximum pour forcer leur suppression du réseau
  • \\n
  • Area boundary manipulation : exploiter les résumés inter-area pour rediriger le trafic entre les zones OSPF
  • \\n
\\n

RPKI/ROA : La Défense Principale

\\n

Le RPKI (Resource Public Key Infrastructure) est le mécanisme de défense principal contre le BGP hijacking. Il crée une base de données cryptographiquement signée liant les préfixes IP aux AS autorisés à les annoncer. Un ROA (Route Origin Authorization) est un objet signé par le titulaire du préfixe, déclarant quel AS est autorisé à l'annoncer et la longueur maximale du préfixe.

\\n

Les routeurs BGP valident les annonces contre les ROA : une annonce dont l'origine AS ne correspond pas au ROA est marquée comme Invalid et peut être rejetée. Le déploiement du RPKI progresse : ~50% des préfixes IPv4 ont un ROA en 2026, mais seuls ~30% des opérateurs rejettent activement les routes Invalid.

\\n
⚠️ Attention — Le RPKI protège contre le prefix origin hijacking mais PAS contre les attaques sur l'AS-PATH (path manipulation). BGPsec (signature de chaque hop de l'AS-PATH) est la solution théorique mais son déploiement est quasi nul en 2026 à cause du coût de performance et de la complexité opérationnelle.
\\n
? Conseil pratique — Pour surveiller vos préfixes BGP, inscrivez-vous aux alertes de BGPStream (CAIDA/RIPE) et de RIPE RIS. Créez des ROA pour tous vos préfixes via le portail de votre RIR (RIPE, ARIN, APNIC) et configurez votre routeur pour rejeter les routes RPKI Invalid (route-map RPKI-FILTER deny 10 match rpki invalid).
\\n

À retenir

  • BGP fonctionne sur la confiance mutuelle SANS authentification — n'importe quel AS peut annoncer n'importe quel préfixe
  • Le sub-prefix hijack (préfixe plus spécifique) gagne TOUJOURS en BGP — aucune configuration ne peut l'empêcher sans RPKI
  • Le BGP interception permet un MitM à l'échelle d'Internet avec re-routage transparent vers la destination
  • RPKI/ROA protège contre l'usurpation d'origine mais pas contre la manipulation de l'AS-PATH
  • OSPF sans authentification MD5/SHA permet l'injection de routes fictives dans le réseau interne
\\n

FAQ — Questions Fréquentes

\\n
\\n

Le BGP hijacking est-il fréquent ?

Oui, des incidents BGP sont détectés quotidiennement. La plupart sont des erreurs de configuration (route leaks) plutôt que des attaques intentionnelles, mais les deux ont le même impact. BGPStream de CAIDA détecte des milliers d'anomalies BGP par an. Les attaques intentionnelles ciblant les cryptomonnaies et les services financiers sont en augmentation.

\\n

Comment détecter un BGP hijacking ciblant mon réseau ?

Utilisez les services de monitoring BGP : BGPStream (CAIDA), RIPE RIS, BGPmon, Kentik. Configurez des alertes pour vos préfixes et vos ASN. Vérifiez régulièrement les looking glasses (RIPE, RouteViews) pour voir comment vos préfixes sont propagés. Déployez RPKI avec des ROA pour permettre la validation par les routeurs tiers.

\\n

RPKI est-il suffisant pour protéger contre le BGP hijacking ?

RPKI protège contre le prefix origin hijacking (fausse attribution d'un préfixe à un AS) mais PAS contre les path manipulation attacks ni les route leaks. BGPsec (signature de l'AS-PATH complet) résoudrait ces problèmes mais n'est quasiment pas déployé. En pratique, RPKI + filtrage IRR + peer locking couvrent la majorité des scénarios d'attaque.

\\n
\\n

Besoin d'un accompagnement expert ?

Nos consultants spécialisés en sécurité réseau et infrastructure vous accompagnent dans l'évaluation de votre posture de sécurité.

Contactez-nous
\\n
Article recommandé : GPU Side-Channels : Attaques CUDA et OpenCL
\\n

? Articles connexes

\\n\\n\n

Outils de monitoring et détection proactive du BGP Hijacking

\n

La détection précoce des attaques BGP hijacking repose sur la surveillance continue des annonces de routes BGP depuis plusieurs points d'observation distribués. Les outils spécialisés comme BGPmon (intégré dans Cisco ThousandEyes), RIPE RIS Live et les alertes BGP d'ARIN permettent de détecter en temps quasi-réel les préfixes annoncés de manière anormale. La configuration d'alertes sur vos propres préfixes (ASN et plages IP) est la mesure minimale que toute organisation routant du trafic BGP doit implémenter.

\n

Pour la remédiation, les mécanismes de filtrage BGP doivent être implémentés côté opérateur : RPKI (Resource Public Key Infrastructure) avec Route Origin Validation rend invalides les annonces dont l'ASN d'origine ne correspond pas au ROA signé — Cloudflare et Netflix reportent un filtrage de 80%+ des préfixes invalides depuis l'activation RPKI généralisée en 2024. BGPsec, qui signe cryptographiquement l'intégralité du chemin AS, offre une protection plus complète mais reste peu déployé. La combinaison RPKI + filtrage basé sur les IRR (Internet Routing Registry) couvre la majorité des scénarios de hijacking rencontrés en pratique.

\n

Les attaques BGP hijacking contre des infrastructures critiques ont des impacts économiques considérables. L'incident BGP d'avril 2010 impliquant China Telecom a redirigé 15% du trafic internet mondial pendant 18 minutes, touchant des milliers d'organisations dont le Pentagone et le Sénat américain. En 2023, des attaquants ont détourné des préfixes BGP appartenant à des fournisseurs de services financiers pour intercepter des communications chiffrées dans une tentative de décryptage SSL offline. La protection contre ces scénarios requiert une combinaison de mesures techniques (RPKI, BGPsec) et opérationnelles (monitoring en temps réel, procédures de réponse rapide avec les opérateurs upstream).

La coopération internationale est indispensable dans la réponse aux incidents BGP, car les attaques traversent par nature plusieurs systèmes autonomes et juridictions. Les canaux d'escalade incluent les NOC (Network Operations Centers) des providers upstream, les CERT nationaux pour les incidents affectant des infrastructures critiques, et RIPE NCC pour les incidents impliquant l'espace d'adressage européen. La réponse à un BGP hijacking actif doit intervenir dans les 30 à 60 minutes pour limiter les dommages — chaque minute de détournement représente potentiellement des milliers de paquets interceptés.

\\n
Ayi NEDJIMI
\\n

Besoin d'un expert cybersécurité ?

\\n

Audit, pentest, formation, IA — plus de 25 ans d'expérience, 100+ missions réalisées.

\\n\\n
\\n