Comment un détournement de trafic par la Chine et la Russie a paralysé Google durant quelques heures
Un ISP nigérian qui a indûment détourné le trafic de plusieurs services de Google via la Chine et la Russie, a provoqué des problèmes et des retards. Google déclare à ce propos qu’il ne s’agit probablement pas d’une attaque, mais il n’empêche que cette affaire a exposé la vulnérabilité des protocoles BGP.
Les utilisateurs de quelques services de Google, tels YouTube, ont connu des retards ou des interférences lundi soir. Deux heures durant, des problèmes se sont manifestés au niveau tant des services professionnels qu’à celui des applis à la consommation comme YouTube. Google reconnaît aujourd’hui que des adresses IP Google Cloud ont été publiées incorrectement par d’autres fournisseurs de services internet, ce qui a causé une déviation du trafic.
La cause semble se situer chez MainOne Cable Company, un petit ISP au Nigeria. Ce dernier a adapté lundi ses tableaux du système de routage mondial et y a indiqué erronément que son propre système était la solution correcte pour atteindre une série de préfixes IP, qui appartiennent en réalité à Google. Quelques minutes plus tard, China Telecom a accepté ce trajet et le diffusa au niveau mondial. Il en résulta que d’autres fournisseurs, dont le russe TransTelecom, ont suivi aussi ce trajet et qu’ainsi pas mal de trafic fut détourné. Il est possible également que des données sensibles comme l’infrastructure WAN de Google et le trafic VPN aient de la sorte été déviés par la Russie et la Chine.
Suspect ou pas?
Selon l’entreprise de sécurité ThousandEyes sur Twitter, la déviation du trafic peut être considérée comme suspecte. Et d’évoquer une sorte de ‘BGP hijack’. Google même la qualifie plutôt d’erreur malheureuse. Selon elle, il n’y a aucune preuve qu’il s’agisse d’une cyber-attaque. Google explique au Wall Street Journal qu’il n’y a pas eu de fuite de données et que le cryptage a empêché que quelqu’un puisse visionner les données détournées. Elle a cependant entamé une enquête interne pour veiller à ce que cela n’arrive plus (ou quasiment) à l’avenir. Selon MainOne, il est question d’une erreur administrative qui a été commise lors de l’actualisation des protocoles BGP. Si tel est le cas, comment est-ce possible?
Le gros souci d’internet
Le border gateway protocol, alias l’infrastructure BGP, gère une grande partie du trafic internet mondial et se charge de la liaison automatique des différents réseaux de fournisseurs. Voilà qui doit permettre à quelqu’un de transférer à partir du réseau Proximus par exemple des données à quelqu’un utilisant le réseau AT&T aux Etats-Unis.
“BGP est un protocole qui a été conçu sur un serveur il y a des années, et dont personne ne pensait qu’il allait tenir aussi longtemps.”
Ces dernières années, BGP est cependant devenu un gros souci pour les entreprises de sécurité. L’infrastructure est essentiellement basée sur la confiance, à savoir sur des tableaux que les fournisseurs eux-mêmes envoient. Comme les problèmes survenus lundi l’ont démontré, il se fait que l’infrastructure s’avère très sensible aux erreurs et pourrait aussi faire l’objet de ‘hijacking’. “L’un des problèmes de BGP, c’est qu’il s’agit d’un protocole qui a été conçu sur un serveur, il y a des années, et dont personnes ne pensait qu’il allait tenir aussi longtemps”, a précisé Jan-Peter Kleinhans, project director au sein de la cellule de réflexion Stiftung Neue Verantwording, lors d’une réunion Kaspersky cette semaine. Le système doit être actualisé davantage dans le sens de l’infrastructure de base d’internet.
Infrastructure dépassée
Le piratage de BGP peut constituer une menace, parce qu’il peut permettre à des criminels et à des pays d’intercepter du trafic de données et de le visionner par exemple en même temps que les utilisateurs, ou encore de rejeter certains services.
Comme le système est toutefois assez complexe et a été agencé de manière irréfléchie, on a aussi assez souvent à faire à ce qu’on appelle des ‘prefix leaks’ (fuites de préfixes). Tout comme dans le cas d’un ‘BGP hijack’ mal intentionné, le trafic est alors détourné, parce qu’un ISP indique qu’il est le propriétaire d’adresses IP qu’il ne gère pourtant pas lui-même. Nombre d’ISP utilisent des systèmes et de meilleures pratiques pour s’assurer que cela ne puisse arriver par mégarde, et disposent de filtres capables de repérer les erreurs, avant qu’elles ne soient expédiées. Quelque chose que, dans ce cas-ci, China Telecom a omis de faire.
Il semble donc qu’ici, à cause d’une fuite de préfixes, le trafic de Google n’a plus été envoyé par le trajet le plus efficient, mais via toute une série de réseaux n’utilisant pas de filtres BGP.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici