Le gouvernement néerlandais améliorera la sécurité de son routage Internet en adoptant avant la fin de 2024 la norme Resource Public Key Infrastructure (RPKI).
RPKI, ou Resource Certification protège contre le reroutage erroné du trafic internet, de manière malveillante ou non, grâce à une vérification cryptographique des routes.
La norme utilise des certificats numériques pour sécuriser le protocole BGP (Border Gateway Protocol) utilisé pour échanger des informations de routage et garantir que le trafic passe par l’opérateur de réseau légitime contrôlant les adresses IP sur le chemin de destination.
RPKI pour tous les systèmes TIC
Standardization Forum aux Pays-Bas, une organisation de recherche et de conseil au service du secteur public sur l’utilisation des normes ouvertes, a annoncé que tous les appareils de communication (TIC) gérés par le gouvernement néerlandais doivent utiliser la norme RPKI d’ici 2024.
Le gouvernement a soutenu la recommandation et, dans une décision prise la semaine dernière, il a adopté la politique qui fait référence à la fois aux équipements TIC nouvellement ajoutés ainsi qu’aux systèmes existants.
Les certificats RPKI sont stockés de manière centralisée et restent publics, ce qui permet aux fournisseurs de réseau de n’importe où dans le monde de valider les routes du trafic Internet.
Les réseaux qui implémentent RPKI peuvent être sûrs que le trafic Internet n’est acheminé que par des chemins autorisés, éliminant ainsi les risques d’attaques de l’homme du milieu ou d’autres attaques de détournement et d’interception de données.
Sans RPKI, le routage Internet dépend de la confiance des opérateurs de réseau qui annoncent les préfixes IP corrects qu’ils gèrent. Dans ce modèle, cependant, si un opérateur annonce à tort qu’il gère un ensemble particulier d’adresses IP, il recevrait du trafic qui, autrement, emprunterait un chemin différent.
Outre l’impact sur les performances (par exemple, la latence du réseau, les perturbations), ce modèle basé sur la confiance ouvre la porte au détournement malveillant de BGP qui permet l’interception et la surveillance du trafic, ainsi que l’usurpation d’adresses IP légitimes pour le spam.
Un exemple de détournement de BGP remonte à 2019, lorsque le trafic réseau du fournisseur de services Internet néerlandais KPN a été détourné vers China Telecom pendant plus de deux heures.
Le reroutage du trafic Internet peut également se produire par erreur lorsqu’une erreur de configuration amène un opérateur réseau à annoncer l’espace IP d’une autre partie. En 2021, un tel accident a perturbé des milliers de réseaux dans le monde entier.
Adoption du RPKI
L’adoption de RPKI est déjà élevée aux Pays-Bas, avec 77,9 % des sites Web gouvernementaux et 75,1 % des domaines de messagerie prenant déjà en charge la norme.
Cependant, l’adoption mondiale de RPKI a progressé plus lentement que ne l’espéraient ses développeurs et ses partisans, les FAI de niveau 2 prenant du retard.
Le National Institute of Standards and Technology (NIST) aux États-Unis dispose d’un moniteur RPKI en direct qui fournit des informations en temps réel sur l’écosystème RPKI tirées de divers référentiels de données, y compris des informations de routage BGP.
Selon les données du NIST d’avril 2023, environ 41 % des paires préfixe-origine IPv4 vérifiables sont conformes au RPKI, 58 % sont susceptibles d’incidents de routage et 1 % ont une incompatibilité dans leurs clés d’origine de route, elles ne sont donc pas valides.
RPKI contribue à un Internet plus sûr et meilleur, mais un taux d’adoption de 41 % montre qu’il y a encore un long chemin à parcourir pour améliorer la sécurité du trafic à travers le monde.
Début 2020, le taux d’adoption du RPKI était de 18 % et est passé à 27 % en janvier 2021 et à 33,5 % au début de 2022.