Forte croissance des réseaux bénéficiant de la sécurité du routage

Le routage Internet sécurisé avec RPKI est l'une des technologies clés de l'évolution continue de l'Internet à laquelle nous accordons une grande attention ici à Pulse. Comme toutes les technologies fondamentales de l'internet, les premiers déploiements de protocoles de routage internet n'étaient absolument pas sécurisés. Au fil du temps, avec l'augmentation des transactions de valeur sur l'internet, la pression s'est accrue pour rendre l'infrastructure sous-jacente plus fiable. La sécurité a un rôle vital à jouer à cet égard.

Les protocoles de routage Internet déterminent comment les messages provenant d'un hôte Internet (ordinateur) atteignent la bonne destination. Ces protocoles permettent aux milliers de réseaux qui composent l'internet mondial de s'interconnecter et d'acheminer le trafic entre eux sans qu'il soit nécessaire de conclure des accords préalables (au-delà de la prise en charge du même protocole de routage).

Le trafic Internet peut être accidentellement ou délibérément réacheminé sans mesures de sécurité supplémentaires, ce qui crée des risques de surveillance et de déni de service.

L'amélioration de la sécurité du routage sur l'internet à l'aide de la RPKI repose sur deux éléments principaux. Le premier consiste, pour les opérateurs de réseau, à publier des autorisations d'origine des routes (ROA). Les ROA sont des objets signés cryptographiquement qui indiquent quel système autonome (AS/réseau) est autorisé à créer un préfixe d'adresse IP particulier ou un ensemble de préfixes. C'est là qu'intervient la partie PKI (Public Key Infrastructure) de RPKI, car ces ROA sont certifiées dans une chaîne de confiance jusqu'à un Trust Anchor.

Le deuxième élément du cadre RPKI permet aux opérateurs de réseaux d'importer des ancres de confiance et de les utiliser pour vérifier les ROA publiées par d'autres réseaux. La liste vérifiée des préfixes, des longueurs maximales et des numéros d'AS d'origine fournit un ensemble de charges utiles de ROA validées (VRP) pour les décisions de routage.

Sur Pulse, nous surveillons l'adoption de la validation des itinéraires par les opérateurs de réseaux à l'aide des données de RoVista. Leur technique de mesure nous fournit deux informations : le pourcentage de réseaux qui bénéficient d'une protection complète de leurs itinéraires et le pourcentage de réseaux qui bénéficient d'une protection partielle. Cette dernière catégorie peut correspondre à des opérateurs de réseaux qui, bien qu'ils n'effectuent pas eux-mêmes la validation des itinéraires, obtiennent la connectivité de réseaux qui le font et tirent donc un certain avantage de cette validation sur le plan de la sécurité.

Selon la métrique de RoVista, en 2023, les réseaux partiellement protégés ont presque doublé, passant de 44 % à 81 %, tandis que les réseaux entièrement protégés ont connu un niveau de croissance similaire, passant de 9 % à 18 %. Cette croissance remarquable montre que le déploiement de la vérification RPKI par les grands réseaux de transit a un impact disproportionné sur la protection de leurs clients en aval. Ce serait une bonne chose si chaque opérateur de réseau validait les itinéraires à l'aide de la RPKI. Toutefois, il n'est pas nécessaire que ce soit le cas pour que l'adoption de la RPKI par les principaux opérateurs de réseaux de transport en commun ait des effets bénéfiques sur l'ensemble de la population.

Aujourd'hui, plus de la moitié des réseaux du système de routage de l'internet mondial sont répertoriés en tant qu'AS d'origine dans au moins un ROA. Les ROA couvrent la majorité des paires préfixe-origine IPv6 uniques dans la zone sans défaut, et la table de routage IPv4 atteindra probablement la même étape dans les semaines à venir. De même, la majeure partie de l'espace d'adressage IPv6 annoncé est couverte par un ROA valide.

Ces mesures indiquent une adoption très saine de RPKI parmi certains des principaux opérateurs de réseaux mondiaux. Si vous souhaitez en savoir plus sur l'importance de la sécurité du routage pour l'avenir de l'internet et sur ce que font les opérateurs de réseaux du monde entier pour collaborer à l'amélioration de l'infrastructure de communication dont tant d'entre nous dépendent, consultez le site MANRS.

Photo de Brett Jordan sur Unsplash