Le problème de confiance au coeur d’internet
Les deux protocoles les plus fondamentaux d’internet — BGP (Border Gateway Protocol) et DNS (Domain Name System) — ont été conçus à une époque où le réseau était une petite communauté de chercheurs de confiance. BGP, qui détermine comment le trafic est acheminé entre les plus de 80 000 systèmes autonomes (AS) qui composent internet, fonctionne sur un modèle de confiance mutuelle : lorsqu’un AS annonce qu’il peut acheminer le trafic vers un bloc d’adresses IP particulier, les réseaux voisins acceptent cette annonce sans vérification. Le DNS, qui traduit les noms de domaine en adresses IP pour chaque visite de site web, chaque envoi d’email et chaque appel API sur internet, a été conçu de manière similaire sans authentification — une réponse DNS est acceptée simplement parce qu’elle arrive.
Cette confiance fondamentale a fait de BGP et DNS les surfaces d’attaque les plus critiques d’internet. Un détournement BGP réussi peut rediriger des blocs entiers de trafic internet à travers le réseau d’un attaquant, permettant la surveillance de masse, le vol d’identifiants ou la manipulation du trafic à grande échelle. Une attaque DNS peut rediriger les utilisateurs vers des versions frauduleuses de n’importe quel site web — banques, fournisseurs de messagerie, services gouvernementaux — capturant les identifiants et les données sensibles de victimes qui voient la bonne URL dans leur navigateur. Ce ne sont pas des risques théoriques : ils sont démontrés, documentés et en cours.
Les enjeux sont existentiels. Contrairement aux attaques au niveau applicatif qui compromettent des systèmes individuels, les attaques au niveau de l’infrastructure compromettent le tissu de routage et de nommage dont dépend chaque service internet. Un détournement BGP affectant l’espace IP d’un grand fournisseur cloud peut perturber des millions de services simultanément. Une compromission DNS au niveau du registrar ou du registre peut rediriger le trafic web de tout un pays. Ces attaques sont l’équivalent numérique du détournement d’autoroutes et du changement de panneaux de signalisation — elles affectent tous ceux qui utilisent la route.
Détournement BGP : réacheminer internet
L’incident BGP le plus célèbre s’est produit le 24 février 2008 lorsque Pakistan Telecom (AS17557), tentant de bloquer YouTube au niveau national, a accidentellement annoncé des routes BGP pour le préfixe IP de YouTube 208.65.153.0/24 vers l’internet mondial. Le fournisseur en amont de Pakistan Telecom, PCCW Global (AS3491), a transmis l’annonce dans le monde entier, et en quelques minutes le trafic YouTube était acheminé vers le réseau de Pakistan Telecom et tombait dans un trou noir. La panne a duré plus de deux heures avant que YouTube ne récupère en annonçant des préfixes /25 plus spécifiques, exploitant la règle du plus long préfixe de BGP. Cet incident était accidentel — les détournements BGP délibérés sont bien plus sophistiqués et plus difficiles à détecter.
La manipulation BGP parrainée par des États a été documentée de manière extensive. Les chercheurs Chris Demchak du US Naval War College et Yuval Shavitt de l’Université de Tel-Aviv ont documenté des schémas de China Telecom utilisant ses dix points de présence en Amérique du Nord pour réacheminer le trafic internet américain et canadien à travers l’infrastructure réseau chinoise, des conclusions par la suite confirmées par la division Internet Intelligence d’Oracle. En 2019, un incident distinct a vu plus de 70 000 routes BGP fuiter via le noeud de China Telecom à Francfort, réacheminant le trafic mobile européen par la Chine pendant deux heures. En avril 2018, un détournement BGP provenant d’eNET (AS10297) a redirigé le trafic destiné au service DNS Route 53 d’Amazon, permettant aux attaquants de voler environ 150 000 dollars en Ethereum aux utilisateurs de MyEtherWallet en servant une réponse DNS frauduleuse via le chemin détourné. Des manipulations BGP russes ont également été documentées, notamment un incident de décembre 2017 où le trafic vers Google, Facebook, Apple et Microsoft a été brièvement réacheminé via un système autonome russe obscur.
La défense contre le détournement BGP est le RPKI (Resource Public Key Infrastructure), un cadre cryptographique permettant aux opérateurs réseau de vérifier la légitimité des annonces de routes BGP. Avec RPKI, un AS peut créer un ROA (Route Origin Authorization) certifiant cryptographiquement quels numéros d’AS sont autorisés à annoncer son espace d’adresses IP. Les réseaux qui valident RPKI peuvent alors rejeter les annonces non autorisées. Fin 2025, l’adoption de RPKI a atteint environ 54 % des routes IPv4 annoncées mondialement, contre environ 14 % en 2019 — un triplement en six ans. La couverture ROA a augmenté de 23 % en 2025 seul, et les trois quarts de tout le trafic IP sont désormais destinés à des destinations sécurisées par RPKI. Les grands réseaux dont Cloudflare, Google, AT&T et NTT valident RPKI, mais la longue traîne des FAI plus petits et des réseaux régionaux reste non protégée.
Advertisement
Attaques DNS : de l’empoisonnement de cache à la compromission de registre
Les attaques DNS vont de l’empoisonnement de cache opportuniste aux campagnes sophistiquées parrainées par des États ciblant l’infrastructure DNS elle-même. L’attaque Kaminsky (2008) a démontré que l’empoisonnement de cache DNS — l’injection d’enregistrements frauduleux dans les caches des résolveurs DNS — était bien plus facile qu’on ne le pensait, déclenchant des correctifs d’urgence à l’échelle de l’industrie. DNSSEC (Domain Name System Security Extensions) a été développé comme solution à long terme, signant cryptographiquement les enregistrements DNS pour empêcher la falsification. Pourtant, le déploiement de DNSSEC reste incomplet : bien que la plupart des domaines de premier niveau soient signés, la validation DNSSEC de bout en bout nécessite la signature à chaque niveau de la hiérarchie DNS, et de nombreux domaines restent non signés.
La campagne Sea Turtle, documentée par Cisco Talos en avril 2019, a représenté une nouvelle classe de menace DNS. Plutôt que d’attaquer les résolveurs ou les caches DNS, Sea Turtle a compromis des registrars et des opérateurs de registre DNS — dont Netnod, l’un des fournisseurs de DNS racine de Suède, et le registrar gérant le domaine de premier niveau .am de l’Arménie — modifiant les enregistrements DNS faisant autorité pour des organisations gouvernementales, de renseignement et énergétiques ciblées. Cela a permis aux attaquants de rediriger les victimes vers des serveurs contrôlés par les attaquants qui présentaient des certificats SSL valides (obtenus grâce à la compromission DNS elle-même), rendant la redirection pratiquement indétectable pour les utilisateurs. Talos a évalué avec une forte confiance qu’il s’agissait d’une opération parrainée par un État, qui a compromis au moins 40 organisations dans 13 pays entre janvier 2017 et début 2019.
DNSpionage, une campagne connexe documentée pour la première fois par Cisco Talos en novembre 2018, ciblait de manière similaire l’infrastructure DNS au Moyen-Orient, compromettant initialement des domaines .gov au Liban et aux EAU ainsi qu’une compagnie aérienne libanaise privée. L’équipe Mandiant de FireEye a ensuite identifié une vague plus large affectant des dizaines de domaines appartenant à des entités gouvernementales, de télécommunications et d’infrastructure internet au Moyen-Orient, en Afrique du Nord, en Europe et en Amérique du Nord. Ces campagnes ont démontré que l’attaque de l’infrastructure DNS — registrars, registres et serveurs faisant autorité — offre un levier que les compromissions de systèmes individuels ne peuvent égaler.
Défenses et le fossé d’adoption
Les défenses techniques contre les attaques au niveau de l’infrastructure existent mais font face à un fossé d’adoption persistant. RPKI pour la sécurité BGP, DNSSEC pour l’intégrité DNS, Certificate Transparency pour la vérification des certificats TLS et MANRS (Mutually Agreed Norms for Routing Security) pour les bonnes pratiques des opérateurs réseau fournissent collectivement un cadre de défense robuste. Le problème est que la sécurité d’internet est un défi d’action collective — la sécurité de chaque réseau dépend de l’adoption de ces protections par tous les autres réseaux.
Certificate Transparency (CT), introduit par Google en 2013 et désormais obligatoire pour tous les certificats TLS publiquement approuvés, a été l’une des initiatives de sécurité d’infrastructure les plus réussies. CT exige des autorités de certification de journaliser tous les certificats émis dans des registres publiquement vérifiables, permettant aux propriétaires de domaines de détecter les certificats frauduleusement émis pour leurs domaines.
L’initiative MANRS, créée à l’origine par l’Internet Society en 2014 et désormais opérée par la Global Cyber Alliance depuis 2024, promeut quatre actions concrètes pour les opérateurs réseau : le filtrage (empêcher la propagation d’informations de routage incorrectes), l’anti-usurpation (empêcher le trafic avec des adresses IP source usurpées), la coordination (maintenir des informations de contact à jour pour la réponse aux incidents) et la validation globale (publier les données de routage pour validation externe). Plus de 1 000 opérateurs réseau se sont engagés dans MANRS fin 2025, avec une participation totale d’environ 1 300 à travers tous les programmes — mais cela représente une fraction des plus de 80 000 systèmes autonomes sur internet. Pour des nations comme l’Algérie, où l’infrastructure internet passe par un nombre limité d’opérateurs (principalement Algérie Telecom), l’adoption nationale de RPKI, DNSSEC et des standards MANRS par les FAI principaux procurerait un bénéfice protecteur disproportionné pour l’ensemble de l’écosystème internet national.
Advertisement
🧭 Radar de Décision (Prisme Algérien)
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Élevé — le trafic internet algérien transite par une infrastructure limitée ; les attaques BGP et DNS pourraient rediriger ou intercepter le trafic national à grande échelle |
| Infrastructure prête ? | Partiel — les défenses mondiales (RPKI, DNSSEC) existent mais nécessitent l’adoption par les opérateurs réseau algériens (principalement Algérie Telecom) et le registre .dz (CERIST) |
| Compétences disponibles ? | Non — la sécurité BGP et DNS nécessite une expertise spécialisée en ingénierie réseau rare en Algérie ; une assistance internationale est disponible via RIPE NCC et AFRINIC |
| Calendrier d’action | 12-24 mois — le déploiement de RPKI par les FAI algériens et la signature DNSSEC de la zone .dz sont réalisables dans ce délai |
| Parties prenantes clés | Algérie Telecom, CERIST (registre .dz), ARPCE, RIPE NCC, AFRINIC, Internet Society |
| Type de décision | Stratégique |
En bref : Les systèmes de routage et de nommage d’internet ont été construits sur une confiance qui n’existe plus. Le détournement BGP et les attaques DNS peuvent rediriger le trafic de nations entières. L’adoption de RPKI par les FAI algériens et la signature DNSSEC de la zone .dz sont les deux mesures les plus impactantes que l’Algérie puisse prendre pour protéger son infrastructure internet contre ces menaces au niveau de l’épine dorsale.
Sources et lectures complémentaires
- Cisco Talos – Sea Turtle DNS Hijacking Campaign
- Cisco Talos – DNSpionage Campaign Targets Middle East
- RIPE NCC – YouTube Hijacking: A RIS Case Study
- Internet Society – Amazon Route 53 BGP Hijack Analysis
- APNIC Blog – RPKI’s 2025 Year in Review
- APNIC Blog – BGP in 2025
- MANRS – Mutually Agreed Norms for Routing Security
- Cloudflare – Is BGP Safe Yet?
- Google Certificate Transparency Project
- Kentik Blog – A Brief History of the Internet’s Biggest BGP Incidents
- FireEye/Mandiant – Global DNS Hijacking Campaign
- IEEE ComSoc – Oracle Confirms China Telecom Misdirected US Internet Traffic
Advertisement