Renesys alerte sur la menace de la redirection de trafic

La résilience d’Internet tient à ses capacités intrinsèques d’adaptation du routage des données. Mais celles-ci peuvent être détournées à des fins malveillantes, s’inquiète Renesys après quelques observations troublantes. Dans un billet de blog, ce spécialiste de la supervision des réseaux IP revient sur un risque identifié de longue date. 

De fait, en août 2009, des chercheurs en sécurité avaient déjà illustré une technique de déviation du trafic internet en s’appuyant sur des messages BGP taillés à cette fin. De quoi conduire des attaques de type man-in-the-middle en faisant transiter un trafic IP donné via un intermédiaire malveillant. Et de rappeler qu’en août 2008, YouTube avait été victime d’un incident de routage lié aux efforts de blocage du service du gouvernement pakistanais.

Mais pour Renesys, ce type d’attaque par détournement et interception de trafic IP n’est plus théorique : « nous avons observé des détournements au cours de plus de 60 jours cette année. Environ 1 500 blocs IP individuels ont été détournés, des événements d’une durée s’étendant de minutes à des jours, avec des attaquants opérant dans divers pays. » Et d’affirmer avoir suivi attentivement ces incidents, suffisamment pour parvenir à ces conclusions. Des institutions financières, des fournisseurs de services de téléphonie sur IP et des gouvernements auraient été les plus « proéminentes » victimes de ces attaques.

Ainsi, en février 2013, le trafic concernant des entreprises et des gouvernements aux Etats-Unis, en Corée du Sud, en Allemagne, en République Tchèque, en Lituanie, en Lybie et en Iran aurait été détourné pour transiter par le fournisseur d’accès à Internet GlobalOneBel en Biélorussie. En tout, Renesys affirme avoir suivi 21 détournements via la Biélorussie entre février et mai derniers, et 17 autres via l’Islande, en juillet et août. Sur l’ile, le fournisseur de service concerné a fait état d’un bug logiciel. Mais pour Reneys, cette explication est « peu probable ». Pour lui, les attaques par détournement de trafic ne sont plus « une préoccupation théorique » mais quelque chose « qui se produit assez régulièrement »; Et d’indiquer avoir mis en place un dispositif dédié à l’identification de tels détournements.