Read on Twitter
Le #hijack de grandes plateformes numériques (AWS, FB, Google...) par l’opérateur russe @Rostelecom_News est l’occasion d’expliquer un peu l’origine d’un tel événement et aussi pourquoi les grands méchants russes ne nous volent sans doute pas toutes nos précieuses données. 1/ https://twitter.com/ClotildeBomont/status/1247803334158778368
Rostelecom, un des fournisseurs d'accès les plus importants de Russie, est coutumier du hijack (détournement) : il annonce des destinations d’Internet qui ne lui appartiennent pas : Amazon, Fb, Google, OVH, Cloudflare. Bref, des géants, et des acteurs stratégiques. 2/
Pour un opérateur comme Rostelecom, faire un hijack revient à annoncer au reste d’Internet que pour atteindre certaines destinations (comme des ressources d’Amazon), il faut passer par lui. Mais le protocole avec lequel sont faites les annonces repose sur la confiance. 3/
Donc, pas de raison de ne pas croire Rostelecom. Cette information est ensuite envoyée à des acteurs plus importants qui le transmettent à leur tour. Pour ce cas précis, les très grands opérateurs, Cogent ou Level3, ont propagé cette information. https://blog.qrator.net/en/how-you-deal-route-leaks_69/ 4/
Donc, mettons une fiction plutôt vraisemblable : si Orange utilise Level3 pour accéder à Facebook, vos données peuvent passer par Rostelecom pendant un court moment (ici environ une heure). 5/
Un hijack c’est à la fois courant et pas anodin du tout. Cela permet en théorie par exemple de récupérer des données, ou de les faire disparaître. La question est plutôt de savoir si ce hijack est volontaire, s’il y a une intention malveillante. 6/
La question de l’intention ressemble à celle de l’attribution pour une cyberattaque : si on connaît souvent le but d’une cyberattaque, il est très difficile de définir à qui l’attribuer (l’attribution devient donc politique). 7/
Dans un hijack BGP, on connaît l’origine, mais on connaît rarement la cause avec certitude. On peut la supposer parfois, c’est le cas avec certains opérateurs comme China Telecom https://www.zdnet.com/article/china-has-been-hijacking-the-vital-internet-backbone-of-western-countries/ 8/
(China Telecom est devenu un acteur majeur de hijacks après la signature du pacte sino-américain de septembre 2015 visant à stopper les cyber-opérations de vol de propriété intellectuel. CT a alors multiplié ses points de présence (PoP) physique aux USA et Canada...) 9/
(... et China Telecom a donc été accusé d'opérer cette manoeuvre à dessein par des chercheurs de Tel Aviv et du US Naval War College.) 10/
Pour le cas qui nous intéresse, Rostelecom, il y a débat. L’opérateur étant fréquemment surpris la main dans le sac, l’auteur @campuscodi de ZDNet rappelle à raison que ces incidents sont « qualifiés de suspicieux par de nombreux experts » https://www.zdnet.com/article/russian-telco-hijacks-internet-traffic-for-google-aws-cloudflare-and-others/ 11/
Il rappelle aussi que @bgpmon, un des observateurs les plus attentifs de Rostelecom, qualifie de « curieux » (ce qui n’est pas si significatif) le cas d’un hijack issu du même opérateur en 2017. https://bgpmon.net/bgpstream-and-the-curious-case-of-as12389/ 11/
En revanche, de nombreux experts techniques du routage estiment plutôt qu’il s’agit de la conséquence de décisions de routage internes à Rostelecom, bref une erreur. Parmi eux, @atoonk, qui a créé @bgpmon 12/ https://twitter.com/atoonk/status/1246852111586848768
(Le même Andree Toonk qui qualifiait de « curieux » le cas de Rostelecom)
Ou @gustawsson, responsable de l’architecture réseau chez Telia, un autre géant dans le routage des données 13/ https://twitter.com/Gustawsson/status/1246876721548230656
Ou @gustawsson, responsable de l’architecture réseau chez Telia, un autre géant dans le routage des données 13/ https://twitter.com/Gustawsson/status/1246876721548230656
Donc en ccl : Diffacile de savoir ce qui se cache derrière un hijack des routes des données numériques.
Facile de savoir qui le fait, et de savoir que certains le font souvent. Ce qui permet de supposer : pas grand chose, il faut creuser. #scienceisdisappointing
15/
Facile de savoir qui le fait, et de savoir que certains le font souvent. Ce qui permet de supposer : pas grand chose, il faut creuser. #scienceisdisappointing
15/
Pour avoir quelques éléments supplémentaires sur la géopolitique du routage des données, quelques articles disponibles en ligne (en attendant ceux à paraître)
Introduction générale à la géopo du routage : 16/ https://labs.ripe.net/Members/louis_petiniaud/geopolitics-of-routing
Introduction générale à la géopo du routage : 16/ https://labs.ripe.net/Members/louis_petiniaud/geopolitics-of-routing
Et un cas d’étude sur l’usage du routage par un gouvernement dans un pays très concerné par ces enjeux pour des questions de souveraineté, surveillance et censeure, l’Iran 17/
https://arxiv.org/ftp/arxiv/papers/1911/1911.07723.pdf
https://arxiv.org/ftp/arxiv/papers/1911/1911.07723.pdf
