Pendant la pandémie COVID-19, un nombre croissant de personnes a fait confiance à Internet pour rester connecté tout en gardant ses distances. En conséquence, le trafic internet a bondi d’environ 30% depuis mars. Pour remettre les choses en contexte, c’est un taux de croissance qu’on peut généralement constater sur une année entière.

Gérer cette explosion de trafic et assurer son transport à travers le monde sans compromettre les vitesses de livraison ni l’expérience utilisateur est un grand défi, relevé chaque jour par les opérateurs de premier plan comme GTT – qui œuvre au cœur de l’internet mondial. Cependant, un autre défi, tout aussi important mais dont on parle moins, est celui de garantir qu’internet est doté de mesures de sécurité plus robustes pour les sites web et les applications cloud auxquels nous sommes nombreux à faire confiance chaque jour.

Les menaces qui pèsent sur le trafic web

Le trafic internet est transmis d’un point à l’autre à travers les systèmes autonomes qui couvrent le globe. Les adresses IP, l’équivalent des adresses de la vie réelle, permettent d’identifier les éléments auxquels vous vous connectez. Cela peut être le routeur de votre domicile, un site de blog ou votre boutique en ligne préférée. Généralement, les routes qu’un réseau peut annoncer à l’internet mondial sont protégées par des filtres appliqués par les fournisseurs en amont. Ces filtres sont générés par des entrées dans l’IRR (Internet Routing Registry), une base de données des routes internet enregistrées. Toutefois, comme n’importe qui peut créer une entrée pour absolument n’importe quoi sans aucune vérification ni validation, le système est ouvert aux abus.

Ce défaut de validation signifie que des acteurs mal intentionnés peuvent créer des entrées dans l’IRR pour des espaces IP qu’ils ne sont pas autorisés à exploiter, ce qui entraîne des fuites et des détournements. Par exemple, un acteur malveillant voulant intercepter des transactions de cartes de crédit en ligne ou de cryptomonnaies pourrait, en théorie, enregistrer les préfixes d’adresses IP de la cible visée dans l’IRR et ensuite annoncer ces blocs IP aux fournisseurs en amont, qui les accepteraient sans autorisation ou validation supplémentaire. Ce scénario permettrait à des personnes mal intentionnées de subtiliser tout le trafic destiné au bloc IP du propriétaire légitime tant que l’annonce est active. De plus, des problèmes de configuration non intentionnels peuvent également survenir. Il est possible pour un opérateur de réseaux de faire une erreur typographique dans un bloc IP lors de la création d’une entrée IRR et de l’annonce réseau qui l’accompagne. Lorsque ça arrive, que c’est accepté et que ça s’est propagé par les fournisseurs en amont, cela peut rendre l’opérateur légitime et les sites associés dans cet espace IP en question complètement inopérants jusqu’à ce que l’erreur soit identifiée et corrigée.

Sécuriser les systèmes de routage mondiaux

Etant donné qu’il n’y a jamais eu autant de monde à dépendre d’Internet, il est essentiel de développer de nouvelles façons de mieux protéger à la fois les utilisateurs et les entreprises. L’une de ces initiatives est la mise en œuvre d’un nouveau système de vérification des adresses IP, appelé RPKI (Resource Public Key Infrastructure), qui permet aux personnes et aux organisations qui possèdent une ou plusieurs adresses IP d’enregistrer officiellement l’espace d’adressage comme étant le leur et uniquement le leur. Elle présente l’avantage supplémentaire d’exiger que toute personne qui enregistre un bloc d’adresses IP soit dûment autorisée par l’un des cinq registres internet régionaux (RIR), organismes qui gèrent et attribuent les blocs d’adresses IP.

Le fait d’avoir un registre officiel des propriétaires de chaque adresse IP apporte un niveau de validation supplémentaire, rendant le travail d’imitation ou d’usurpation de ces adresses plus difficile pour les criminels voulant rediriger le trafic vers un faux site ressemblant. Ce niveau de validation permet aux opérateurs de rejeter explicitement toute annonce IP non validée dans le RPKI de leurs voisins externes.

Rendre internet plus sûr et plus fiable est la mission permanente des fournisseurs de réseaux IP qui assurent le transport sécurisé de l’énorme volume de trafic internet à travers le monde. GTT est l’un des plus grands fournisseurs IP mondiaux de premier plan à déployer une validation de route basée sur RPKI sur l’ensemble de son backbone internet mondial. Ainsi, si la route IP d’un client est couverte par un enregistrement RPKI ROA (Route Origin Authorization), alors il peut être assuré que son trafic Internet est entièrement sécurisé sur l’ensemble du territoire couvert par le réseau de GTT.

Passer à l’étape suivante

La disponibilité du RPKI est une pierre angulaire importante pour bâtir un internet plus sûr. Toutes les entreprises qui possèdent des adresses IP doivent désormais passer à l’étape suivante pour sécuriser leurs services en devenant dûment autorisées au niveau du RIR afin de créer un enregistrement d’autorisation d’origine de route (ROA) RPKI. Toutefois, les organisations devront toujours mener à bien des vérifications avec une diligence raisonnable. Si elles adoptent un service hébergé en ligne d’une personne possédant des espaces d’adresses IP, comme un blog ou un site web, elles doivent s’assurer que leurs espaces d’adresses IP sont enregistrés avec le système approprié pour contribuer à rendre l’expérience utilisateur plus sécurisée.

Alors que la population mondiale dépend de plus en plus d’Internet, les opérateurs de réseaux relèvent collectivement le défi de rendre internet plus sûr et plus fiable, mais le chemin est encore long. La mise en œuvre de RPKI est une étape importante dans la bonne direction et va contribuer à ajouter une couche de protection et de sécurité supplémentaire à notre monde numérique en constante évolution.