Piratage du protocole BGP : le trafic redirigé vers la Russie

Hits: 52

Ce 13 décembre, le trafic entrant et sortant d’importants sites Internet a été brièvement redirigé vers un FAI russe, par un acteur inconnu. Pour les chercheurs, cette action à la fois suspecte et délibérée constitue probablement le signe avant-coureur d’une attaque.

D’après BGPMON, qui a détecté l’événement à partir de 4h43 (UTC), 80 préfixes normalement annoncés par plusieurs grandes organisations ont été détectés dans les tables de routage BGP mondiales avec un AS (Autonomous System) d’origine 39523 (DV-LINK-AS), émanant de Russie.

Ce comportement d’attaque n’a duré que six minutes et les chercheurs ignorent tout des motivations de cet incident. Il nous rappelle toutefois à quel point Internet est fragile et combien il est facile de l’exploiter.

La redirection du trafic Internet vers une adresse malveillante (par la corruption ou la manipulation des protocoles de routage Internet) est l’une des techniques utilisées pour exécuter des attaques man-in-the-middle ou pour usurper un site Web dans le but d’extorquer des identifiants ou d’autres informations sensibles.

En l’occurrence, l’attaque du 13 décembre a exploité le protocole BGP (Border Gateway Protocol). Lors de ce type d’attaques, les cyberpirates surveillent le trafic Internet émanant de certains sites et le redirigent vers un système de leur propre réseau, utilisé comme point d’étranglement. Bien que peu fréquentes, certaines instances sont documentées sur Wikipedia, dont une tentative de vol de bitcoins en 2014.

L’incident du 13 décembre a affecté quelques-uns des plus grands sites Web, dont Google, Apple, Facebook, Microsoft, Twitch, NTT Communications et Riot Games. Les utilisateurs de ces sites pensent que leurs communications sont sécurisées car elles emploient le chiffrement SSL/TLS sur HTTPS.

Malheureusement, les cyberpirates capables de manipuler BGP dans le cadre d’attaques man-in-the-middle peuvent manipuler ce chiffrement pour surveiller clandestinement les communications.

En mars 2017, US-CERT a publié un avertissement indiquant qu’une interception HTTPS affaiblissait la sécurité TLS. L’organisation conseillait aux entreprises utilisant des outils d’inspection HTTPS de vérifier qu’ils validaient correctement les chaînes de certificats et transmettaient les avertissements et erreurs au client.

La surveillance du trafic réseau via un point d’étranglement est une technique souvent utilisée par les entreprises et les gouvernements dans leurs propres réseaux. Par exemple, la Chine utilise un périmètre appelé The Great Firewall (la Grande muraille virtuelle de Chine) pour rediriger et surveiller tout le trafic entrant et sortant du pays.

Les attaques man-in-the-middle utilisant BGP permettent aux cyberpirates de modifier le trafic Internet avant qu’il n’atteigne sa destination. Beaucoup pensent que les attaques de ce type sont utilisées pour l’espionnage industriel, l’espionnage entre États, mais aussi par des services de renseignement qui explorent les données Internet à l’insu des FAI.

Certes, la prévention de la manipulation du routage Internet est un problème du ressort des FAI. Les internautes peuvent cependant veiller à la sécurité de leurs sessions HTTPS personnelles à l’aide de l’épinglage de clés publiques HTTP.

L’épinglage de clés publiques (public key pinning) indique au navigateur Web d’associer une clé publique cryptographique à un serveur Web donné, pour éviter les attaques man-in-the-middle exploitant des certificats contrefaits.

Le serveur Web fournit une liste de hachages de clés publiques, qui permet aux navigateurs de vérifier que le certificat qu’ils reçoivent est autorisé par le serveur Web avec lequel ils souhaitent communiquer. De cette façon, le navigateur Web d’un internaute peut déterminer si les communications ont été interceptées et s’il souhaite ou non poursuivre.

vectra