Le BGP (Border Gateway Protocol), c’est un peu comme le GPS d’Internet 🚦 : il dit aux paquets par où passer. Sauf qu’il a été conçu à une époque où “sécurité” voulait surtout dire… faire confiance à son voisin.
Résultat :
🎭 usurpation d’origine (hello, traffic hijacking),
🌀 fuites de routes accidentelles,
🔓 et des failles qui font rêver les attaquants.
Bref, c’est solide comme une autoroute… sans barrières ni radars. 🚗💨
🛡️ Les tentatives de sécurisation
Les ingénieurs n’ont pas chômé (même si ça avance parfois aussi lentement qu’une mise à jour Windows 😅) :
🔑 RPKI (Resource Public Key Infrastructure)
Chaque AS peut prouver qu’il est bien autorisé à annoncer ses préfixes.
Certificats ROA, signés crypto, stockés dans des dépôts accessibles.
Pas de calcul crypto en temps réel → pas d’impact lourd sur les routeurs.
Déploiement actuel : ~56 % des routes ont un ROA valide. Pas parfait, mais c’est déjà mieux que de rouler sans freins. 🚲➡️🏎️
✅ ROV (Route Origin Validation)
Vérifie que l’AS qui annonce une route en a le droit.
Bloque une grosse partie des détournements de trafic.
Mais ne couvre pas les mensonges sur le chemin (path spoofing).
🧩 BGPsec
Idée : signer chaque saut de chemin.
Sur le papier : blindage façon coffre-fort 🔒.
Dans la pratique : adoption quasi nulle → trop lourd, trop cher, trop collectif (le classique : “après toi… non, après toi…”).
🚀 ASPA (AS Provider Authorization)
Nouvelle approche, plus simple et plus légère.
👉 Déclare qui est fournisseur de qui.
👉 Détecte les abus (ex : un client qui joue au fournisseur).
Surprise : couvre même certaines fuites de routes que BGPsec ignore.
Bonus : pas de calcul crypto temps réel → les routeurs respirent. 💨
🎯 Où en est-on ?
✅ ROV dépasse désormais la moitié des routes Internet → un vrai cap symbolique
🌟 ASPA suscite un fort intérêt
🐢 Le reste progresse lentement (Internet n’est pas pressé… il est encore sur IPv4 🤭)
Moralité : BGP ne sera jamais invincible, mais il devient moins facile à manipuler. Comme mettre un antivol sur un vélo : ce n’est pas infaillible, mais ça décourage déjà pas mal de monde. 🚲🔐
💡 Question aux ingés réseaux :
Est-ce que vous avez déjà activé RPKI/ROV dans vos AS ?
Et ASPA, pour vous, c’est l’avenir… ou juste une RFC qui finira au musée des bonnes idées ? 🏛️
