L’une des technologies clés de l’évolution permanente de l’internet à laquelle nous accordons une grande attention ici à Pulse est le routage sécurisé de l’internet avec RPKI. Comme toutes les technologies fondamentales de l’internet, les premiers déploiements des protocoles de routage de l’internet n’étaient absolument pas sécurisés. Au fil du temps, avec l’augmentation des transactions de valeur sur l’internet, la pression s’est accrue pour rendre l’infrastructure sous-jacente plus fiable. La sécurité a un rôle essentiel à jouer à cet égard.
Les protocoles de routage Internet déterminent comment les messages provenant d’un hôte Internet (ordinateur) atteignent la bonne destination. Ces protocoles permettent aux milliers de réseaux qui composent l’internet mondial de s’interconnecter et d’acheminer le trafic de et vers chacun d’entre eux sans qu’il soit nécessaire de conclure des accords préalables (au-delà de la prise en charge du même protocole de routage).
Le trafic Internet peut être accidentellement ou délibérément réacheminé sans mesures de sécurité supplémentaires, ce qui crée des risques de surveillance et de déni de service.
Qu’est-ce que le RPKI ?
L’amélioration de la sécurité du routage Internet grâce à la RPKI repose sur deux éléments principaux. La première consiste pour les opérateurs de réseaux à publier des autorisations d’origine des routes (ROA). Les ROA sont des objets signés cryptographiquement qui indiquent quel système autonome (AS/réseau) est autorisé à générer un préfixe d’adresse IP particulier ou un ensemble de préfixes. C’est là qu’intervient la partie PKI (Public Key Infrastructure) de RPKI, car ces ROA sont certifiés dans une chaîne de confiance jusqu’à un Trust Anchor.
Le deuxième élément du cadre RPKI permet aux opérateurs de réseaux d’importer des ancres de confiance et de les utiliser pour vérifier les ROA publiées par d’autres réseaux. La liste vérifiée des préfixes, des longueurs maximales et des numéros d’AS d’origine fournit un ensemble de charges utiles ROA validées (VRP) pour les décisions de routage.
Mesurer l’adoption
Sur Pulse, nous surveillons l’adoption de la validation des itinéraires par les opérateurs de réseaux à l’aide des données RoVista. Leur technique de mesure nous fournit deux informations : le pourcentage de réseaux qui bénéficient d’une protection complète de leurs itinéraires et le pourcentage de réseaux qui bénéficient d’une protection partielle. Cette dernière catégorie peut être constituée d’opérateurs de réseaux qui, bien qu’ils n’effectuent pas eux-mêmes la validation des itinéraires, obtiennent la connectivité de réseaux qui le font et tirent ainsi un certain avantage de cette validation en termes de sécurité.
Selon les mesures de RoVista, en 2023, les réseaux partiellement protégés ont presque doublé, passant de 44 % à 81 %, tandis que les réseaux entièrement protégés ont connu un niveau de croissance similaire, passant de 9 % à 18 %. Cette croissance remarquable montre que le déploiement de la vérification RPKI par les grands réseaux de transit a un impact disproportionné sur la protection de leurs clients en aval. Il serait bon que chaque opérateur de réseau valide les itinéraires à l’aide de RPKI. Toutefois, il n’est pas nécessaire que ce soit le cas pour que l’adoption de l’ICDR par les principaux opérateurs de réseaux de transport en commun soit largement bénéfique.
Aujourd’hui, plus de la moitié des réseaux du système de routage de l’internet mondial sont répertoriés comme AS d’origine dans au moins un ROA. Les ROA couvrent la majorité des paires préfixe-origine uniques IPv6 dans la zone sans défaut, et la table de routage IPv4 devrait atteindre la même étape dans les semaines à venir. De même, la majeure partie de l’espace d’adressage IPv6 annoncé est couverte par une ROA valide.
En savoir plus et agir
Ces mesures indiquent une adoption très saine de RPKI parmi certains des principaux opérateurs de réseaux mondiaux. Si vous souhaitez en savoir plus sur l’importance de la sécurité du routage pour l’avenir de l’internet et sur les mesures prises par les opérateurs de réseaux du monde entier pour collaborer à l’amélioration de l’infrastructure de communication dont beaucoup d’entre nous dépendent, consultez le site du MANRS.
Photo de Brett Jordan sur Unsplash