Attaquer l'épine dorsale d'Internet : détournement DNS

Publié le janvier 2, 2026 · Dernière mise à jour avril 1, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Les protocoles fondamentaux de routage et de nommage d'Internet — BGP et DNS — ont été conçus sur la confiance, pas la sécurité, et sont activement exploités : l'incident Pakistan Telecom de 2008 a mis YouTube hors ligne mondialement, tandis que la campagne Sea Turtle a compromis des registraires DNS dans 13 pays pour rediriger le trafic gouvernemental. L'adoption de RPKI a atteint 54 % des routes IPv4 annoncées globalement, contre 14 % en 2019, mais la longue traîne des petits FAI reste non protégée.

En résumé : Les opérateurs réseau doivent déployer RPKI pour la validation des routes BGP et DNSSEC pour l'intégrité DNS — ces deux mesures offrent une protection disproportionnée contre les attaques au niveau du backbone qui peuvent rediriger le trafic internet de nations entières.

Lire l’analyse complète ↓

🧭 Radar de Décision (Perspective Algérie)

Pertinence pour l’AlgérieÉlevé

le trafic internet algérien transite par une infrastructure limitée ; les attaques BGP et DNS pourraient rediriger ou intercepter le trafic national à grande échelle

Infrastructure prête ?Partiel

les défenses mondiales (RPKI, DNSSEC) existent mais nécessitent l’adoption par les opérateurs réseau algériens (principalement Algérie Telecom) et le registre .dz (CERIST)

Compétences disponibles ?Non

la sécurité BGP et DNS nécessite une expertise spécialisée en ingénierie réseau rare en Algérie ; une assistance internationale est disponible via RIPE NCC et AFRINIC

Calendrier d’action12-24 mois

le déploiement de RPKI par les FAI algériens et la signature DNSSEC de la zone .dz sont réalisables dans ce délai

Parties prenantes clésAlgérie Telecom, CERIST (registre .dz), ARPCE, RIPE NCC, AFRINIC, Internet Society

Type de décisionStratégique

Nécessite des décisions stratégiques organisationnelles qui façonneront le positionnement à long terme dans le domaine de attaquer l’épine dorsale d’Internet

En bref : Algerie Telecom, Djezzy et Mobilis dépendent de liaisons par câbles sous-marins vers l’Europe pour la quasi-totalité du trafic international algérien — un détournement BGP sur ces routes pourrait perturber les services pour 45 millions de citoyens. La zone DNS .dz gérée par le CERIST doit impérativement déployer DNSSEC, tandis que les opérateurs doivent accélérer l’adoption de RPKI pour valider les routes BGP et protéger l’infrastructure dorsale du pays.

Le problème de confiance au coeur d’internet

Les deux protocoles les plus fondamentaux d’internet — BGP (Border Gateway Protocol) et DNS (Domain Name System) — ont été conçus à une époque où le réseau était une petite communauté de chercheurs de confiance. BGP, qui détermine comment le trafic est acheminé entre les plus de 80 000 systèmes autonomes (AS) qui composent internet, fonctionne sur un modèle de confiance mutuelle : lorsqu’un AS annonce qu’il peut acheminer le trafic vers un bloc d’adresses IP particulier, les réseaux voisins acceptent cette annonce sans vérification. Le DNS, qui traduit les noms de domaine en adresses IP pour chaque visite de site web, chaque envoi d’email et chaque appel API sur internet, a été conçu de manière similaire sans authentification — une réponse DNS est acceptée simplement parce qu’elle arrive.

Cette confiance fondamentale a fait de BGP et DNS les surfaces d’attaque les plus critiques d’internet. Un détournement BGP réussi peut rediriger des blocs entiers de trafic internet à travers le réseau d’un attaquant, permettant la surveillance de masse, le vol d’identifiants ou la manipulation du trafic à grande échelle. Une attaque DNS peut rediriger les utilisateurs vers des versions frauduleuses de n’importe quel site web — banques, fournisseurs de messagerie, services gouvernementaux — capturant les identifiants et les données sensibles de victimes qui voient la bonne URL dans leur navigateur. Ce ne sont pas des risques théoriques : ils sont démontrés, documentés et en cours.

Les enjeux sont existentiels. Contrairement aux attaques au niveau applicatif qui compromettent des systèmes individuels, les attaques au niveau de l’infrastructure compromettent le tissu de routage et de nommage dont dépend chaque service internet. Un détournement BGP affectant l’espace IP d’un grand fournisseur cloud peut perturber des millions de services simultanément. Une compromission DNS au niveau du registrar ou du registre peut rediriger le trafic web de tout un pays. Ces attaques sont l’équivalent numérique du détournement d’autoroutes et du changement de panneaux de signalisation — elles affectent tous ceux qui utilisent la route.

Détournement BGP : réacheminer internet

L’incident BGP le plus célèbre s’est produit le 24 février 2008 lorsque Pakistan Telecom (AS17557), tentant de bloquer YouTube au niveau national, a accidentellement annoncé des routes BGP pour le préfixe IP de YouTube 208.65.153.0/24 vers l’internet mondial. Le fournisseur en amont de Pakistan Telecom, PCCW Global (AS3491), a transmis l’annonce dans le monde entier, et en quelques minutes le trafic YouTube était acheminé vers le réseau de Pakistan Telecom et tombait dans un trou noir. La panne a duré plus de deux heures avant que YouTube ne récupère en annonçant des préfixes /25 plus spécifiques, exploitant la règle du plus long préfixe de BGP. Cet incident était accidentel — les détournements BGP délibérés sont bien plus sophistiqués et plus difficiles à détecter.

La manipulation BGP parrainée par des États a été documentée de manière extensive. Les chercheurs Chris Demchak du US Naval War College et Yuval Shavitt , chercheur en sécurité réseau, ont documenté des schémas de China Telecom utilisant ses dix points de présence en Amérique du Nord pour réacheminer le trafic internet américain et canadien à travers l’infrastructure réseau chinoise, des conclusions par la suite confirmées par la division Internet Intelligence d’Oracle. En 2019, un incident distinct a vu plus de 70 000 routes BGP fuiter via le noeud de China Telecom à Francfort, réacheminant le trafic mobile européen par la Chine pendant deux heures. En avril 2018, un détournement BGP provenant d’eNET (AS10297) a redirigé le trafic destiné au service DNS Route 53 d’Amazon, permettant aux attaquants de voler environ 150 000 dollars en Ethereum aux utilisateurs de MyEtherWallet en servant une réponse DNS frauduleuse via le chemin détourné. Des manipulations BGP russes ont également été documentées, notamment un incident de décembre 2017 où le trafic vers Google, Facebook, Apple et Microsoft a été brièvement réacheminé via un système autonome russe obscur.

La défense contre le détournement BGP est le RPKI (Resource Public Key Infrastructure), un cadre cryptographique permettant aux opérateurs réseau de vérifier la légitimité des annonces de routes BGP. Avec RPKI, un AS peut créer un ROA (Route Origin Authorization) certifiant cryptographiquement quels numéros d’AS sont autorisés à annoncer son espace d’adresses IP. Les réseaux qui valident RPKI peuvent alors rejeter les annonces non autorisées. Fin 2025, l’adoption de RPKI a atteint environ 54 % des routes IPv4 annoncées mondialement, contre environ 14 % en 2019 — un triplement en six ans. La couverture ROA a augmenté de 23 % en 2025 seul, et les trois quarts de tout le trafic IP sont désormais destinés à des destinations sécurisées par RPKI. Les grands réseaux dont Cloudflare, Google, AT&T et NTT valident RPKI, mais la longue traîne des FAI plus petits et des réseaux régionaux reste non protégée.

Attaques DNS : de l’empoisonnement de cache à la compromission de registre

Les attaques DNS vont de l’empoisonnement de cache opportuniste aux campagnes sophistiquées parrainées par des États ciblant l’infrastructure DNS elle-même. L’attaque Kaminsky (2008) a démontré que l’empoisonnement de cache DNS — l’injection d’enregistrements frauduleux dans les caches des résolveurs DNS — était bien plus facile qu’on ne le pensait, déclenchant des correctifs d’urgence à l’échelle de l’industrie. DNSSEC (Domain Name System Security Extensions) a été développé comme solution à long terme, signant cryptographiquement les enregistrements DNS pour empêcher la falsification. Pourtant, le déploiement de DNSSEC reste incomplet : bien que la plupart des domaines de premier niveau soient signés, la validation DNSSEC de bout en bout nécessite la signature à chaque niveau de la hiérarchie DNS, et de nombreux domaines restent non signés.

La campagne Sea Turtle, documentée par Cisco Talos en avril 2019, a représenté une nouvelle classe de menace DNS. Plutôt que d’attaquer les résolveurs ou les caches DNS, Sea Turtle a compromis des registrars et des opérateurs de registre DNS — dont Netnod, l’un des fournisseurs de DNS racine de Suède, et le registrar gérant le domaine de premier niveau .am de l’Arménie — modifiant les enregistrements DNS faisant autorité pour des organisations gouvernementales, de renseignement et énergétiques ciblées. Cela a permis aux attaquants de rediriger les victimes vers des serveurs contrôlés par les attaquants qui présentaient des certificats SSL valides (obtenus grâce à la compromission DNS elle-même), rendant la redirection pratiquement indétectable pour les utilisateurs. Talos a évalué avec une forte confiance qu’il s’agissait d’une opération parrainée par un État, qui a compromis au moins 40 organisations dans 13 pays entre janvier 2017 et début 2019.

DNSpionage, une campagne connexe documentée pour la première fois par Cisco Talos en novembre 2018, ciblait de manière similaire l’infrastructure DNS au Moyen-Orient, compromettant initialement des domaines .gov au Liban et aux EAU ainsi qu’une compagnie aérienne libanaise privée. L’équipe Mandiant de FireEye a ensuite identifié une vague plus large affectant des dizaines de domaines appartenant à des entités gouvernementales, de télécommunications et d’infrastructure internet au Moyen-Orient, en Afrique du Nord, en Europe et en Amérique du Nord. Ces campagnes ont démontré que l’attaque de l’infrastructure DNS — registrars, registres et serveurs faisant autorité — offre un levier que les compromissions de systèmes individuels ne peuvent égaler.

Défenses et le fossé d’adoption

Les défenses techniques contre les attaques au niveau de l’infrastructure existent mais font face à un fossé d’adoption persistant. RPKI pour la sécurité BGP, DNSSEC pour l’intégrité DNS, Certificate Transparency pour la vérification des certificats TLS et MANRS (Mutually Agreed Norms for Routing Security) pour les bonnes pratiques des opérateurs réseau fournissent collectivement un cadre de défense robuste. Le problème est que la sécurité d’internet est un défi d’action collective — la sécurité de chaque réseau dépend de l’adoption de ces protections par tous les autres réseaux.

Certificate Transparency (CT), introduit par Google en 2013 et désormais obligatoire pour tous les certificats TLS publiquement approuvés, a été l’une des initiatives de sécurité d’infrastructure les plus réussies. CT exige des autorités de certification de journaliser tous les certificats émis dans des registres publiquement vérifiables, permettant aux propriétaires de domaines de détecter les certificats frauduleusement émis pour leurs domaines.

L’initiative MANRS, créée à l’origine par l’Internet Society en 2014 et désormais opérée par la Global Cyber Alliance depuis 2024, promeut quatre actions concrètes pour les opérateurs réseau : le filtrage (empêcher la propagation d’informations de routage incorrectes), l’anti-usurpation (empêcher le trafic avec des adresses IP source usurpées), la coordination (maintenir des informations de contact à jour pour la réponse aux incidents) et la validation globale (publier les données de routage pour validation externe). Plus de 1 000 opérateurs réseau se sont engagés dans MANRS fin 2025, avec une participation totale d’environ 1 300 à travers tous les programmes — mais cela représente une fraction des plus de 80 000 systèmes autonomes sur internet. Pour des nations comme l’Algérie, où l’infrastructure internet passe par un nombre limité d’opérateurs (principalement Algérie Telecom), l’adoption nationale de RPKI, DNSSEC et des standards MANRS par les FAI principaux procurerait un bénéfice protecteur disproportionné pour l’ensemble de l’écosystème internet national.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Qu’est-ce que attacking the internet’s backbone ?

Cet article couvre les aspects essentiels de ce sujet, en examinant les tendances actuelles, les acteurs clés et les implications pratiques pour les professionnels et les organisations en 2026.

Pourquoi attacking the internet’s backbone est-il important ?

Ce sujet est important car il a un impact direct sur la façon dont les organisations planifient leur stratégie technologique, allouent leurs ressources et se positionnent dans un paysage en évolution rapide.

Quels sont les points clés à retenir de cet article ?

L’article analyse les mécanismes clés, les cadres de référence et les exemples concrets qui permettent de comprendre le fonctionnement de ce domaine, en s’appuyant sur des données actuelles et des études de cas.