Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • AI Data Pipelines
      Pipeline de données de sécurité pour SIEM IA et optimisation des données
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Border Gateway Protocol (BGP) : Guide axé sur la sécurité
Cybersecurity 101/Cybersécurité/Border Gateway Protocol

Border Gateway Protocol (BGP) : Guide axé sur la sécurité

Le Border Gateway Protocol contrôle les réseaux que votre trafic traverse avant d’atteindre les contrôles de sécurité. Découvrez les bonnes pratiques de sécurité BGP et le déploiement de RPKI.

CS-101_Cybersecurity.svg
Sommaire
Qu'est-ce que le Border Gateway Protocol ?
Relation entre le Border Gateway Protocol et la cybersécurité
BGP interne vs externe (iBGP vs eBGP)
Composants fondamentaux du Border Gateway Protocol
Fonctionnement du Border Gateway Protocol
Techniques d’attaque courantes exploitant BGP
Principaux avantages du Border Gateway Protocol
Défis et limites du Border Gateway Protocol
Erreurs courantes liées au Border Gateway Protocol
Bonnes pratiques pour le Border Gateway Protocol
Exemples concrets d’incidents BGP
Points clés à retenir

Articles similaires

  • Qu'est-ce que la session fixation ? Comment les attaquants détournent les sessions utilisateur
  • Hacker éthique : méthodes, outils et guide de carrière
  • Qu’est-ce qu’une attaque adversariale ? Menaces et défenses
  • Cybersécurité dans le secteur public : risques, bonnes pratiques et cadres de référence
Auteur: SentinelOne
Mis à jour: January 21, 2026

Qu'est-ce que le Border Gateway Protocol ?

BGP contrôle les réseaux que votre trafic traverse avant d’atteindre vos contrôles de sécurité, et les attaquants exploitent cette couche de routage pour intercepter vos données avant que votre pare-feu ou vos solutions de détection des endpoints ne les voient. NIST SP 800-189 définit BGP comme le protocole de routage permettant à différents systèmes autonomes d’échanger des informations de routage et de déterminer les chemins optimaux pour le trafic Internet. Un attaquant a dérobé environ 235 000 $ en cryptomonnaie le 17 août 2022 en menant une attaque de détournement BGP ciblée contre Celer Bridge, redirigeant le trafic vers des serveurs contrôlés par l’attaquant pendant environ trois heures.

CISA qualifie BGP de « partie la plus importante d’Internet dont vous n’avez probablement jamais entendu parler ». Votre pare-feu protège le périmètre. Votre détection des endpoints bloque les malwares. Mais BGP contrôle les réseaux que votre trafic traverse avant d’atteindre ces contrôles de sécurité, une couche fondamentale située en dessous de la plupart des défenses de sécurité d’entreprise.

Vous utilisez un protocole basé sur un modèle de confiance fondamentalement non sécurisé. RFC 4272 indique que BGP est essentiellement un protocole non sécurisé. Le protocole ne dispose pas de mécanismes cryptographiques pour valider si le système autonome annonceur possède les préfixes IP, si les chemins de routage sont authentiques, ou si les annonces ont été modifiées en transit.

Border Gateway Protocol - Featured Image | SentinelOne

Relation entre le Border Gateway Protocol et la cybersécurité

Le détournement BGP permet aux attaquants d’intercepter votre trafic avant que votre pare-feu ne l’inspecte, se positionnant entre vos utilisateurs et vos défenses périmétriques. Vous surveillez les échecs d’authentification et recherchez les mouvements latéraux, mais le détournement BGP se produit à la couche de routage avant que vos plateformes SIEM ne voient le trafic. Lorsque vous intégrez la surveillance BGP dans des plateformes comme Singularity Data Lake, les anomalies de routage sont automatiquement corrélées avec les échecs d’authentification et les indicateurs d’exfiltration de données.

La sécurité BGP est cruciale car une compromission de la couche de routage contourne vos contrôles de sécurité périmétriques d’entreprise et permet des attaques de type homme du milieu à l’échelle d’Internet. CISA avertit que le détournement BGP expose les informations de votre entreprise en redirigeant le trafic via des réseaux contrôlés par des attaquants et facilite l’espionnage étatique. Comprendre comment les attaquants exploitent BGP nécessite d’examiner les composants architecturaux fondamentaux du protocole.

BGP interne vs externe (iBGP vs eBGP)

BGP fonctionne selon deux modes distincts avec des modèles de confiance et des implications de sécurité différents. Le BGP externe (eBGP) gère le routage entre systèmes autonomes, tandis que le BGP interne (iBGP) gère la distribution des routes au sein d’un même AS. Votre posture de sécurité doit prendre en compte les vulnérabilités des deux modes.

Les sessions eBGP connectent des routeurs dans différents systèmes autonomes à travers des frontières de confiance. Ces sessions s’établissent généralement entre des routeurs situés aux frontières du réseau où votre organisation est en peering avec des FAI, des fournisseurs cloud ou d’autres réseaux. eBGP applique une valeur TTL de 1 par défaut, ce qui signifie que les routeurs pairs doivent être directement connectés. Les attaquants ciblent les sessions eBGP car compromettre ces connexions permet d’intercepter le trafic à l’échelle d’Internet.

iBGP distribue les informations de routage apprises des pairs eBGP dans votre réseau interne. iBGP nécessite une connectivité full mesh entre tous les speakers BGP d’un AS, ou l’utilisation de route reflectors et de confédérations pour passer à l’échelle. Les sessions iBGP ne modifient pas l’attribut AS path, ce qui signifie que les routes apprises via iBGP conservent leur chemin AS d’origine pour la prévention des boucles.

Les implications de sécurité diffèrent selon ces modes :

  • Les sessions eBGP traversent des frontières administratives et nécessitent des politiques de filtrage strictes
  • iBGP suppose un environnement interne de confiance, créant un risque si des attaquants accèdent au réseau interne
  • Les mauvaises configurations des route reflectors peuvent propager de mauvaises routes dans votre AS
  • Le détournement de session iBGP permet à des attaquants ayant un accès interne de manipuler les décisions de routage

Votre stratégie de sécurité réseau doit mettre en œuvre l’authentification MD5 sur toutes les sessions BGP, quel que soit le type. Le guide MANRS pour les entreprises recommande un filtrage strict des préfixes à chaque point de peering eBGP. Pour iBGP, segmentez les clusters de route reflectors et surveillez la présence de speakers BGP non autorisés dans votre AS.

Composants fondamentaux du Border Gateway Protocol

Trois éléments architecturaux créent les vulnérabilités exploitées par les attaquants dans la conception basée sur la confiance de BGP : absence de mécanismes d’authentification, confiance implicite entre pairs, et absence de capacités de validation des routes.

  • Systèmes autonomes (AS) représentent des réseaux indépendants sous contrôle administratif. Votre réseau d’entreprise, votre FAI, votre fournisseur cloud : chacun fonctionne comme un système autonome avec un numéro AS unique.
  • Sessions de peering BGP établissent des connexions authentifiées entre routeurs de différents systèmes autonomes qui échangent des informations de routage. Ces connexions s’organisent en relations fournisseur-client, pair-à-pair et client-fournisseur, chacune ayant des implications de sécurité distinctes.
  • Annonces de routes font la publicité des préfixes d’adresses IP aux réseaux pairs. Lorsque votre AS annonce « Je possède la meilleure route pour atteindre 203.0.113.0/24 », les réseaux voisins mettent à jour leurs tables de routage en conséquence. RFC 4272 confirme que le protocole suppose que les pairs sont de confiance, sans mécanismes pour valider les informations de routage. Lorsque vous ou vos pairs envoyez des annonces de routes syntaxiquement valides, BGP les propage sur Internet, qu’elles soient légitimes ou malveillantes.

Comprendre ces vulnérabilités architecturales explique comment les attaquants exploitent le processus de sélection des routes de BGP pour détourner votre trafic.

Fonctionnement du Border Gateway Protocol

Lorsque des attaquants annoncent votre préfixe 203.0.113.0/24 de façon plus spécifique que votre annonce légitime 203.0.113.0/20, les routeurs du monde entier privilégient la route de l’attaquant. Cela s’explique par le fait que la sélection de route BGP suit un algorithme qui privilégie la spécificité à l’autorisation, une technique appelée détournement par correspondance du préfixe le plus long.

La protection par autorisation de route ne fonctionne que lorsque les réseaux en aval valident les routes. Si votre fournisseur en amont n’implémente pas la validation de l’origine des routes, les attaquants peuvent toujours détourner votre trafic même si vous avez publié des ROA valides.

BGP évalue les routes selon des critères tels que la préférence locale, la longueur du chemin AS, le type d’origine et le discriminateur multi-sortie. Les attaquants peuvent manipuler ces paramètres pour détourner le trafic. NIST SP 800-189 Rev. 1 confirme que les concepteurs ont créé BGP sans mécanismes d’authentification cryptographique intégrés.

Techniques d’attaque courantes exploitant BGP

Les attaquants exploitent l’architecture basée sur la confiance de BGP via plusieurs techniques établies que votre équipe de sécurité doit connaître et contrer. Le détournement des serveurs DNS racine de juin 2025 affectant huit serveurs simultanément démontre que ces méthodes restent efficaces même contre des infrastructures critiques.

  • Détournement de préfixe : un attaquant annonce des préfixes IP appartenant à une autre organisation. L’AS de l’attaquant origine des routes pour un espace d’adresses qu’il ne possède pas, et les réseaux qui ne valident pas les routes acceptent ces annonces. Le trafic destiné au propriétaire légitime est alors redirigé vers l’attaquant. Cette technique permet le vol d’identifiants, l’interception de données et le vol de cryptomonnaies.
  • Détournement de sous-préfixe : variante plus ciblée. Les attaquants annoncent des préfixes plus spécifiques que le propriétaire légitime. Si votre organisation annonce 192.0.2.0/23, un attaquant annonçant 192.0.2.0/24 remporte la sélection de route car BGP privilégie les correspondances de préfixe plus longues. Le rapport des opérateurs de serveurs racine confirme que les attaquants exploitent systématiquement ce comportement de correspondance du préfixe le plus long.
  • Manipulation du chemin AS : permet aux attaquants d’influencer la sélection de route en raccourcissant ou modifiant artificiellement l’attribut AS path. BGP privilégie les chemins plus courts, donc les attaquants peuvent ajouter moins d’AS pour rendre leurs routes malveillantes plus attractives. Certains insèrent des AS légitimes dans de faux chemins pour échapper à la détection.
  • Détournement de session BGP : cible les sessions TCP sous-jacentes aux relations de peering BGP. Les attaquants capables d’injecter des paquets dans la session peuvent réinitialiser les connexions, injecter de fausses routes ou provoquer une instabilité du routage. La prédiction du numéro de séquence TCP et le positionnement homme du milieu permettent ces attaques.
  • Fuites de routes : résultent d’une mauvaise configuration plutôt que d’une intention malveillante mais ont des impacts similaires sur la sécurité. Un réseau propage incorrectement des routes apprises d’un pair à d’autres pairs, en violation des politiques de routage attendues. L’analyse d’incident MANRS documente comment ces mauvaises configurations ont affecté Time Warner Cable, Rogers et Charter.

La défense contre ces techniques nécessite des contrôles en couches incluant le déploiement de RPKI, un filtrage strict des préfixes, l’authentification des sessions BGP et une surveillance continue des anomalies de routage.

Principaux avantages du Border Gateway Protocol

BGP fournit un routage à l’échelle d’Internet grâce à la coordination avec des réseaux indépendants. RFC 4271 explique comment les systèmes autonomes échangent des informations de routage et déterminent les meilleurs chemins pour le trafic Internet en fonction des relations entre réseaux.

La redondance des chemins provient de multiples sources d’annonces et d’une sélection de routes distribuée. Lorsque votre connexion principale à un FAI tombe en panne, BGP converge vers des chemins de secours via des fournisseurs secondaires selon les métriques de route et les politiques locales.

L’ingénierie fine du trafic via le routage basé sur des politiques vous donne le contrôle sur les deux directions du flux de trafic. Ajustez le préfixage AS path pour influencer le trafic entrant, configurez les préférences locales pour le trafic sortant, et appliquez des politiques de filtrage pour empêcher le trafic de transiter par des réseaux potentiellement hostiles. Ces capacités de routage s’accompagnent de compromis de sécurité importants qui nécessitent une gestion rigoureuse.

Défis et limites du Border Gateway Protocol

L’absence fondamentale d’authentification dans BGP empêche toute vérification cryptographique que l’AS annonçant des routes vers votre espace IP en est bien le propriétaire. Cette lacune permet toutes les attaques de détournement contre lesquelles vous vous défendez. NIST SP 800-189r1 illustre le problème : les routeurs BGP acceptent les annonces de routage sans vérification cryptographique de l’authenticité de l’origine, de la validation du chemin ou de l’intégrité de l’annonce.

La fréquence des incidents continue d’augmenter malgré une sensibilisation accrue. L’analyse de la sécurité du routage par Internet2 a documenté trois incidents majeurs de sécurité du routage affectant les réseaux de recherche et d’éducation rien qu’en 2024, démontrant que les vulnérabilités BGP continuent de perturber les infrastructures critiques.

Le risque systémique crée des dépendances dépassant le contrôle d’une seule organisation. L’ analyse de politique de l’Internet Society avertit que la nature décentralisée et interconnectée de BGP introduit des vulnérabilités exploitables par des acteurs malveillants. La sécurité du routage dépend de milliers d’autres réseaux à l’échelle mondiale, créant une dépendance de type chaîne d’approvisionnement où une seule mauvaise configuration BGP se propage à l’international. Ces vulnérabilités systémiques se manifestent par des défaillances opérationnelles spécifiques que les équipes de sécurité doivent reconnaître et prévenir.

Erreurs courantes liées au Border Gateway Protocol

De nombreuses organisations déploient une infrastructure de validation RPKI mais ne vont jamais au-delà de la surveillance vers l’application. Le tableau de bord de surveillance affiche un préfixe annoncé depuis un AS non autorisé. Le validateur RPKI le marque comme invalide. Mais le mode surveillance uniquement, configuré il y a des mois, n’a jamais évolué vers l’application. Le trafic est détourné pendant que le tableau de bord affiche le problème. Les bonnes pratiques RPKI du NRO exigent de créer des ROA correspondant exactement à ce que vous annoncez dans BGP et rien de plus.

Un déploiement RPKI incomplet crée des défaillances de plusieurs façons :

  • Création de ROA pour des préfixes prévus mais non annoncés
  • Définition de valeurs de longueur maximale trop permissives
  • Oubli de mettre à jour les ROA lors de changements d’annonces BGP

Ces mauvaises configurations de ROA laissent les préfixes vulnérables même si l’infrastructure de validation existe. Les recherches du NDSS Symposium identifient des défis systémiques qui empêchent les opérateurs de passer de la validation passive à l’application active.

Des politiques de filtrage inadéquates permettent la propagation des attaques. L’analyse de l’écosystème MANRS par CAIDA a constaté que les annonces BGP invalides RPKI et de longueur de préfixe invalide se propagent dans les réseaux malgré des engagements de sécurité documentés. Les lacunes courantes incluent l’acceptation de préfixes plus longs que /24 pour IPv4, des filtres bogon non synchronisés avec les allocations RIR actuelles, et l’absence de vérification de la cohérence des chemins AS. Ces lacunes de filtrage créent des vulnérabilités en cascade dans l’infrastructure de routage.

Une surveillance insuffisante laisse les incidents non détectés jusqu’à ce que les dommages soient causés. Sans alerte sur les changements d’origine AS de préfixe, les nouvelles annonces plus spécifiques recouvrant l’espace d’adresses, et les transitions d’état de validation RPKI, les changements de routage restent invisibles. Des processus d’ intervention sur incident intégrant la télémétrie BGP à votre plateforme de sécurité sont essentiels. Éviter ces erreurs nécessite la mise en œuvre de bonnes pratiques documentées pour la sécurité BGP.

Bonnes pratiques pour le Border Gateway Protocol

Le déploiement de l’infrastructure à clé publique des ressources doit suivre la NIST SP 800-189 Révision 1. Créez des autorisations d’origine de route pour chaque préfixe IP que votre organisation annonce dans BGP et déployez au moins deux validateurs RPKI pour la redondance.

La validation de l’origine des routes fonctionne au mieux lorsqu’elle est mise en œuvre par phases selon les bonnes pratiques du NRO :

  • Mode surveillance (30-60 jours) : observer les résultats de validation RPKI sans impacter le routage
  • Ajustement de préférence (60-90 jours) : abaisser la préférence locale pour les routes invalides RPKI
  • Application complète (90+ jours) : rejeter totalement les annonces invalides

Un filtrage strict des préfixes à tous les points de peering prévient les vecteurs d’attaque courants. Les limites de longueur maximale de préfixe bloquent les attaques de détournement par routes plus spécifiques, les filtres bogon synchronisés bloquent les espaces d’adresses invalides, et le filtrage AS-path empêche les longueurs de chemin irréalistes ou la fuite d’ASN privés.

Les politiques de route-map doivent encoder clairement les types de relations. Étiquetez toutes les routes BGP avec des communautés indiquant l’origine fournisseur, pair ou client.

L’intégration de la surveillance BGP à votre plateforme de sécurité permet des workflows de  threat hunting pour les anomalies de routage. Configurez des alertes pour les changements d’état de session de pair, les modifications d’origine AS de préfixe et les transitions d’état de validation RPKI.

La validation de la configuration des ROA doit être continue à l’aide des outils recommandés par les registres Internet régionaux. Les processus de gestion des changements garantissent que les mises à jour ROA précèdent les modifications d’annonces BGP lorsque cela est possible. Documentez et testez les procédures de réponse pour la détection de routes invalides et établissez des plans d’intervention sur incident pour les scénarios de détournement BGP. Ces bonnes pratiques préparent votre organisation à intégrer la sécurité du routage dans des opérations de sécurité unifiées.

Exemples concrets d’incidents BGP

Les défaillances de la sécurité BGP ont causé des dommages réels importants dans les infrastructures critiques, les services financiers et les opérations gouvernementales. Ces incidents démontrent pourquoi la sécurité du routage requiert la même attention que la protection des endpoints et du réseau.

  • Le détournement des serveurs DNS racine de juin 2025 représente l’incident le plus grave récent. Selon le rapport d’incident des opérateurs de serveurs racine, huit serveurs DNS racine (a, b, c, f, g, h, j et m.root-servers.net) ont subi un détournement BGP simultané entre 19h40 et 21h10 UTC. Trois préfixes détournés avaient des ROA valides publiés dans RPKI, mais l’attaque a réussi car les réseaux en aval n’avaient pas mis en œuvre la validation de l’origine des routes.
  • Le détournement massif Rostelecom d’avril 2020 a affecté plus de 8 000 routes à l’échelle mondiale. L’analyse d’incident MANRS confirme que AS12389 a annoncé des routes plus spécifiques qui ont impacté plus de 200 fournisseurs CDN et cloud, dont Cloudflare et Akamai. L’analyse a attribué cela à une mauvaise configuration d’optimiseur BGP plutôt qu’à une intention malveillante.
  • L’incident Telstra de septembre 2020 a vu AS1221 annoncer près de 500 préfixes lors d’un événement de détournement massif. La documentation MANRS montre que l’incident a affecté 266 systèmes autonomes dans 50 pays, démontrant comment une seule mauvaise configuration se propage à l’échelle mondiale.
  • L’attaque Celer Bridge d’août 2022 a ciblé les utilisateurs de cryptomonnaies. Les attaquants ont volé 235 000 $ en cryptomonnaie en redirigeant le trafic via des serveurs contrôlés par l’attaquant pendant environ trois heures.

Ces incidents partagent des caractéristiques communes : ils ont exploité le modèle de confiance de BGP, ont affecté des organisations ayant mis en place certaines mesures de sécurité, et ont causé des dommages avant que les défenseurs ne puissent réagir. Ce schéma renforce la nécessité d’une détection proactive des menaces et d’une surveillance continue de BGP comme éléments essentiels de la sécurité d’entreprise.

Cybersécurité alimentée par l'IA

Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.

Obtenir une démonstration

Points clés à retenir

Vous vous défendez contre des attaques au niveau de la couche de routage avec une infrastructure que vous ne contrôlez pas totalement. La sécurité de votre BGP dépend de la mise en œuvre de contrôles de validation par des milliers de réseaux. Commencez par ce que vous pouvez contrôler : déployez RPKI/ROV en mode application, filtrez strictement les préfixes à chaque point de peering, et intégrez la surveillance BGP dans les workflows de votre SOC. L’écart entre la mise en œuvre individuelle et l’application collective est l’espace où opèrent les attaquants.

FAQ sur le Border Gateway Protocol (BGP)

Le détournement BGP se produit lorsqu'un attaquant annonce des préfixes d'adresses IP qu'il ne possède pas, ce qui fait que le trafic Internet transite par son réseau au lieu de la destination légitime. 

Selon CISA, ces attaques peuvent exposer des informations d'entreprise, permettre le vol et l'extorsion, et faciliter l'espionnage au niveau étatique. Cette technique permet l'interception du trafic, le vol d'identifiants, l'exfiltration de données et des attaques par déni de service à l'échelle d'Internet.

BGP contrôle le routage du trafic avant que les paquets n’atteignent vos pare-feux, la détection des endpoints ou d’autres contrôles de sécurité. Lorsque des attaquants détournent les routes BGP, ils se placent entre vos utilisateurs et vos défenses, permettant ainsi des attaques de type homme du milieu qui contournent totalement la sécurité périmétrique. 

La sécurité du routage représente une couche fondamentale que la plupart des architectures de sécurité d’entreprise ne surveillent pas.

Les organisations détectent la manipulation BGP grâce à une surveillance continue des annonces de routes, des changements d’état de validation RPKI et des modifications d’origine de préfixe. 

Déployez des validateurs RPKI pour vérifier la légitimité des routes, abonnez-vous aux flux publics de collecteurs de routes de RIPE RIS ou RouteViews, et intégrez la télémétrie BGP à votre plateforme de sécurité. Déclenchez des alertes en cas de changements inattendus d’origine AS et d’annonces de préfixes plus spécifiques recouvrant votre espace d’adressage.

Le détournement BGP permet le vol d'identifiants via des flux d'authentification redirigés, l'exfiltration de données en interceptant des communications sensibles, le vol de cryptomonnaies via des chaînes de détournement DNS, la surveillance d'organisations ou d'individus ciblés, ainsi que la perturbation de services par le blackholing du trafic. 

L' Internet Society avertit que la nature décentralisée du BGP signifie que les routes détournées peuvent affecter toute organisation dont le trafic transite par le chemin compromis.

RPKI crée des certificats cryptographiques reliant les préfixes IP aux systèmes autonomes d'origine autorisés. Lorsque vous déployez la validation de l'origine des routes, vos routeurs rejettent les annonces BGP dont le système autonome d'origine ne correspond pas à la ROA signée cryptographiquement. 

Une attaque annonçant vos préfixes depuis un AS non autorisé est bloquée. Cependant, la protection nécessite à la fois la création de ROA par les propriétaires de préfixes et l'application de la validation de l'origine des routes par les réseaux de transit. Disposer de ROA valides est insuffisant si les réseaux pairs ne valident pas.

Le détournement BGP consiste à annoncer délibérément des préfixes IP non autorisés pour intercepter le trafic. Les fuites de routes représentent une menace distincte où des réseaux propagent incorrectement des routes apprises d’un pair vers d’autres pairs. 

Bien que les fuites de routes résultent généralement d’une mauvaise configuration plutôt que d’une intention malveillante, leur impact sur la sécurité est équivalent, car le trafic est tout de même détourné via des réseaux non prévus et potentiellement hostiles.

Oui, mais avec des dépendances vis-à-vis des fournisseurs en amont. Si vous utilisez un espace d’adressage attribué par le fournisseur, coordonnez-vous avec votre FAI pour créer des ROA sous leur compte RIR. 

Documentez par écrit les responsabilités de gestion des ROA, en particulier le fait que la suppression d’un ROA invalide immédiatement l’autorisation à l’échelle mondiale en quelques minutes. Concentrez-vous sur la surveillance, le filtrage et les contrôles de validation dans le périmètre de votre autorité opérationnelle.

Le déploiement de RPKI comporte deux volets : la publication des Route Origin Authorizations (ROA) pour vos préfixes et l’application de la Route Origin Validation (ROV) sur les routes entrantes. De nombreuses organisations accomplissent la première étape mais pas la seconde. 

Même si vous publiez des ROA valides, votre trafic reste vulnérable si les réseaux de transit entre vous et votre destination n’appliquent pas la validation. Ce problème d’action collective signifie que la sécurité BGP nécessite une mise en œuvre coordonnée à l’échelle de l’écosystème de routage.

Établissez une approche progressive de la surveillance de la sécurité BGP basée sur les recommandations du NIST SP 800-189 Rev. 1. Commencez par mettre en œuvre la validation d’origine de route en mode surveillance uniquement pour obtenir une visibilité de référence. 

Considérez le détournement BGP et les changements inattendus d’origine de préfixe comme des alertes hautement prioritaires nécessitant une enquête immédiate, car ces attaques permettent l’interception de type homme du milieu au niveau du routage.

Les organisations peuvent déployer une surveillance BGP via des validateurs RPKI, des collecteurs de routes et des plateformes de sécurité qui ingèrent la télémétrie réseau. Des ressources publiques telles que RIPE RIS et RouteViews offrent une visibilité mondiale sur le routage. 

Pour les environnements d’entreprise, l’intégration des données de surveillance BGP à votre plateforme de sécurité permet la corrélation avec les événements endpoint et identité.

En savoir plus sur Cybersécurité

Qu'est-ce qu'une Insecure Direct Object Reference (IDOR) ?Cybersécurité

Qu'est-ce qu'une Insecure Direct Object Reference (IDOR) ?

Une Insecure Direct Object Reference (IDOR) est une faille de contrôle d'accès où l'absence de vérification de propriété permet à des attaquants d'accéder aux données de n'importe quel utilisateur en modifiant un paramètre d'URL. Découvrez comment la détecter et la prévenir.

En savoir plus
Sécurité IT vs OT : Principales différences et meilleures pratiquesCybersécurité

Sécurité IT vs OT : Principales différences et meilleures pratiques

La sécurité IT vs OT couvre deux domaines avec des profils de risque, des exigences de conformité et des priorités opérationnelles distincts. Découvrez les principales différences et les meilleures pratiques.

En savoir plus
Qu'est-ce que les sauvegardes Air Gapped ? Exemples et meilleures pratiquesCybersécurité

Qu'est-ce que les sauvegardes Air Gapped ? Exemples et meilleures pratiques

Les sauvegardes Air Gapped conservent au moins une copie de récupération hors de portée des attaquants. Découvrez leur fonctionnement, les types, des exemples et les meilleures pratiques pour la récupération après ransomware.

En savoir plus
Qu'est-ce que la sécurité OT ? Définition, défis et meilleures pratiquesCybersécurité

Qu'est-ce que la sécurité OT ? Définition, défis et meilleures pratiques

La sécurité OT protège les systèmes industriels qui pilotent les processus physiques dans les infrastructures critiques. Couvre la segmentation selon le modèle Purdue, la convergence IT/OT et les recommandations du NIST.

En savoir plus
Découvrez la plateforme de cybersécurité la plus avancée

Découvrez la plateforme de cybersécurité la plus avancée

Découvrez comment la plateforme de cybersécurité la plus intelligente et la plus autonome au monde peut protéger votre organisation aujourd'hui et à l'avenir.

Obtenir une démonstration
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français