Le 2 Avril dernier, Indosat, un des principaux FAI d'Indonésie, a corrompu la table de routage de l'Internet pendant environ 2 heures. Indosat était soudain devenu "propriétaire" d'une grande partie des préfixes IP de l'Internet puisque c'est lui-même qui les annonçait. Derrière l'erreur humaine, on est en droit de se poser la question de savoir jusqu'à quel point les FAI peuvent se faire confiance mutuellement, et quelle pourrait être l'étendue des dommages causés par de telles erreurs. Ces incidents, même s'ils sont rares, ne sont jamais passés sous silence et peuvent avoir des implications géopolitiques, comme ça avait été le cas lors d'un incident similaire provoqué par la Chine en 2010.
Il faut bien comprendre que c'est la façon dont fonctionne l'Internet: les annonces de routage sont des "déclarations sur l'honneur". Un peu comme Twitter et Facebook qui vous permettent d'être qui vous voulez, le routage sur l'Internet vous permet d'annoncer les réseaux que vous voulez, sans authentification ni validation. Le problème, c'est que contrairement à Twitter et Facebook, les fausses annonces se propagent à travers le monde entier et les décisions de routage, bonnes ou mauvaises, sont faites automatiquement par les routeurs. Ce qui signifie que d'innocentes erreurs peuvent avoir un impact global immédiat. Lots de l'incident d'Indosat, les impacts ont été durement ressentis par Akamaï, un des plus grands fournisseurs de contenus sur Internet. Akamaï possède des milliers de réseaux pour des clients très visibles comme turbotax.com, healthcare.gov et paypal.com entres autres.
Le problème d'Indosat a démarré à 18:25 UTC le 2 Avril 2014 avec la corruption de 320000 routes de l'Internet. La table globale contenant environ 500000 routes, Indosat s'est mis à propager les 2/3 de l'Internet !
Beaucoup de ces routes sont restées confinées à l'Indonésie, et n'ont donc pas impacté le traffic Internet. En revanche, plusieurs centaines ont été propagées dans tout l'Internet, et une large fraction de celles-ci appartenait à Akamaï.
En plus d'avoir perturbé Akamaï, cette corruption de routage a provoqué les mêmes effets que celui d'une attaque DDOS sur l'AS d'Indosat. La latence vers cet opérateur en passant par les FAI qui lui sont directement connectés a été quasiment nulle durant cet incident de 2 heures et quelques temps encore après la correction d'erreur.
Pour certains préfixes d'Akamaï, la corruption était complète et tout le trafic vers ces réseaux était envoyé en Indonésie.
Pour d'autres AS, la corruption était partielle puisqu'une partie du trafic était routée vers Indosat et l'autre partie dans les AS propriétaires des réseaux impactés (comme par exemple la société Chevron basée à Londres).
[...]
En l'absence de gouvernance unique (en terme d'authentification) et de meilleurs moyens de contrôles sur le routage de l'Internet (pour vérification), il n'existe pas à l'heure actuelle de moyen d'empêcher ce type d'incident. De même qu'il est possible à quiconque de s'enregistrer sur Facebook en usurpant votre identité, un routeur connecté à l'Internet peut prétendre être le "propriétaire" ou le meilleur choix de routage pour joindre vos réseaux publics. En dernier ressort, les entreprises doivent s'assurer que la propagation de leurs propres préfixes est correcte puisque des corruptions de table de routage de l'Internet pourraient être de nature malveillante pour dévier le traffic qui leur est destiné.
Les entreprises doivent également être vigilantes avec leurs politiques de routage et comprendre comment le traffic est sensé arriver jusqu'à elles. La raison pour laquelle Chevron a été impacté globalement provient de leur design BGP, puisqu'ils utilisent de façon intensive le rajout d'AS dans leurs annonces BGP avec British Telecom. En d'autres termes, l'AS Path pour annoncer le réseau 146.23.208.0/21 ressemble à quelque chose comme 2856 7862 7862 7862 7862 7862. En utilisant ce mécanisme, Chevron allonge artificiellement le chemin d'AS, mais ce faisant, en baisse la priorité lorsqu'un routeur construit sa table de routage car la sélection de route BGP utilise principalement la longueur de l'AS Path. Lorsqu'Indosat a commencé à corrompre sa table de routage BGP, l'AS Path modifié de Chevron a fait partie des tous premiers préfixes impactés parce que l'AS Path connu dans l'AS d'Indosat était plus court. C'est donc cette entrée que le routeur BGP a inséré dans sa table de routage.
On avait noté le même comportement en Avril 2010 suite à la corruption de la table de routage de l'Internet par la Chine. Des réseaux parmi les plus impactés étaient nativement annoncés depuis Charlottesville en Virginie avec des AS Paths lourdement modifiés.
En résumé, les événements de "fuite de routes" commme celui-ci, qui surviennent une fois par an, rappellent à quel point BGP est vulnérable. Il n'existe aucun remède facile à mettre en oeuvre. Ce qui contraint les entreprises directement connectées à l'Internet de surveiller leurs annonces BGP, particulièrement la structure des AS Paths propagés et d'être préparées pour temporairement annoncer une ou plusieurs routes IP plus spécifiques que le bloc IP qui leur a été alloué.
Partager