{"id":88970,"date":"2018-10-24T16:34:52","date_gmt":"2018-10-24T16:34:52","guid":{"rendered":"https:\/\/www.internetsociety.org\/?post_type=resources&#038;p=88970"},"modified":"2025-11-19T18:42:36","modified_gmt":"2025-11-19T18:42:36","slug":"securisation-du-routage-pour-les-decideurs-politiques","status":"publish","type":"resources","link":"https:\/\/www.internetsociety.org\/fr\/resources\/doc\/2018\/securisation-du-routage-pour-les-decideurs-politiques\/","title":{"rendered":"S\u00e9curisation du routage pour les d\u00e9cideurs politiques"},"content":{"rendered":"<p>Bien qu\u2019invisible aux yeux des utilisateurs moyens, le routage du protocole Internet (IP) soutient Internet. En veillant \u00e0 ce que les paquets<a href=\"#_ftn1\" name=\"_ftnref1\"><sup>[1]<\/sup><\/a> aillent o\u00f9 ils sont cens\u00e9s aller, le routage<a href=\"#_ftn2\" name=\"_ftnref2\"><sup>[2]<\/sup><\/a>\u00a0joue un r\u00f4le central dans le fonctionnement fiable de l\u2019Internet. Il garantit que les e-mails parviennent aux bons destinataires, que les sites de commerce \u00e9lectronique demeurent op\u00e9rationnels et que les services du gouvernement virtuel continuent \u00e0 servir les citoyens.\u00a0 La s\u00e9curit\u00e9 du syst\u00e8me de routage mondial est essentielle \u00e0 la croissance continue de l\u2019Internet et pour garantir les opportunit\u00e9s qu\u2019il offre\u00a0\u00e0 tous les utilisateurs.<\/p>\n<p>Chaque ann\u00e9e, des milliers d\u2019incidents de routage<a href=\"#_ftn3\" name=\"_ftnref3\"><sup>[3]<\/sup><\/a>\u00a0se produisent, chacun ayant le potentiel de nuire \u00e0 la confiance des utilisateurs et d\u2019entraver le potentiel de l\u2019Internet.<a href=\"#_ftn4\" name=\"_ftnref4\"><sup>[4]<\/sup><\/a> Ces incidents de routage peuvent aussi cr\u00e9er de r\u00e9els dommages \u00e9conomiques. Les services cl\u00e9s peuvent devenir indisponibles, perturbant la capacit\u00e9 des entreprises et des utilisateurs \u00e0 participer au commerce \u00e9lectronique.<a href=\"#_ftn5\" name=\"_ftnref5\"><sup>[5]<\/sup><\/a> Ou les paquets peuvent \u00eatre d\u00e9tourn\u00e9s vers des r\u00e9seaux malveillants, offrant la possibilit\u00e9\u00a0de les espionner.<a href=\"#_ftn6\" name=\"_ftnref6\"><sup>[6]<\/sup><\/a> Bien que des mesures de s\u00e9curit\u00e9 connues puissent r\u00e9gler nombre de ces incidents de routage, des incitations incompatibles en limitent l\u2019usage.<\/p>\n<p>Toutes les parties prenantes, y compris les d\u00e9cideurs politiques, doivent entreprendre des efforts pour renforcer la s\u00e9curit\u00e9 du syst\u00e8me de routage mondial.<a href=\"#_ftn7\" name=\"_ftnref7\"><sup>[7]<\/sup><\/a> Cela ne peut uniquement \u00eatre fait qu\u2019en pr\u00e9servant en m\u00eame temps les aspects vitaux du syst\u00e8me de routage qui ont permis \u00e0 Internet d\u2019\u00eatre si omnipr\u00e9sent et am\u00e9liorer sa\u00a0s\u00e9curit\u00e9. \u00a0En donnant l\u2019exemple dans\u00a0leurs propres r\u00e9seaux, en renfor\u00e7ant la communication et en participant \u00e0 l\u2019am\u00e9lioration des incitations pour renforcer la s\u00e9curit\u00e9, les d\u00e9cideurs politiques peuvent contribuer \u00e0 am\u00e9liorer l\u2019\u00e9cosyst\u00e8me de la s\u00e9curisation du routage.<\/p>\n<h4>Principales consid\u00e9rations<\/h4>\n<p>Le syst\u00e8me de routage repose en son centre\u00a0sur la confiance entre les r\u00e9seaux. Le syst\u00e8me de routage mondial est un syst\u00e8me complexe, d\u00e9centralis\u00e9, compos\u00e9 de dizaines de milliers de r\u00e9seaux individuels. Des d\u00e9cisions commerciales ind\u00e9pendantes et des relations de confiance entre les op\u00e9rateurs de r\u00e9seaux individuels mettant en \u0153uvre\u00a0le Border Gateway Protocol\u00a0(abr\u00e9viation BGP) d\u00e9terminent la fa\u00e7on dont le r\u00e9seau se comporte.<a href=\"#_ftn8\" name=\"_ftnref8\"><sup>[8]<\/sup><\/a> L\u2019architecture maill\u00e9e du r\u00e9seau contribue \u00e0 sa r\u00e9silience, son extensibilit\u00e9 et la facilit\u00e9 de son adoption.<\/p>\n<p>Sans point de panne unique ou contr\u00f4leur unique, le syst\u00e8me de routage est difficile \u00e0 rompre\u00a0au niveau mondial, de connexion facile et se dimensionne bien. Lorsqu\u2019une route devient embouteill\u00e9e ou \u00e9choue, les r\u00e9seaux peuvent choisir de router le trafic en \u00e9vitant les zones probl\u00e9matiques. La structure du syst\u00e8me de routage permet aussi aux op\u00e9rateurs de r\u00e9seau une grande souplesse dans le fonctionnement de leurs propres r\u00e9seaux. Elle permet aux op\u00e9rateurs de r\u00e9seau de d\u00e9velopper de nouvelles architectures r\u00e9seau et solutions pour coller le mieux aux besoins de leurs utilisateurs. Ce sont ces qualit\u00e9s qui ont rendu Internet si prosp\u00e8re et lui ont permis cette croissante.<\/p>\n<h4>D\u00e9fis<\/h4>\n<p>Bien que les qualit\u00e9s du syst\u00e8me de routage lui aient permis son succ\u00e8s global, ces m\u00eames attributs ont aussi contribu\u00e9 \u00e0 certains de ses d\u00e9fis. Le syst\u00e8me est fond\u00e9 sur des liens de confiance\u00a0; chaque r\u00e9seau compte sur les r\u00e9seaux voisins (qui \u00e0 leur tour comptent sur leurs propres voisins, etc.) pour agir de mani\u00e8re appropri\u00e9e. Aucune v\u00e9rification n\u2019est int\u00e9gr\u00e9e et faire de fausses d\u00e9clarations peut \u00eatre facile. Cela conduit r\u00e9guli\u00e8rement \u00e0 des\u00a0<strong>incidents de routage<\/strong>. Les complexit\u00e9s et la d\u00e9centralisation du syst\u00e8me de routage mondial cr\u00e9ent aussi\u00a0<strong>des d\u00e9fis pour l\u2019\u00e9cosyst\u00e8me<\/strong>, y compris des incitations incompatibles et des risques externalis\u00e9s pos\u00e9s par l\u2019ins\u00e9curit\u00e9 du routage. Les solutions pour g\u00e9rer ces nombreux incidents de routage sont connues, mais les d\u00e9fis de l\u2019\u00e9cosyst\u00e8me g\u00eanent\u00a0leur mise en \u0153uvre. Tout effort pour att\u00e9nuer ces d\u00e9fis doit\u00a0reconna\u00eetre les fonctions techniques centrales\u00a0du syst\u00e8me de routage et maintenir les b\u00e9n\u00e9fices offerts par son architecture.<\/p>\n<p>En 2017, pr\u00e8s de 14\u2009000 incidents de routage ont \u00e9t\u00e9 enregistr\u00e9s.<a href=\"#_ftn9\" name=\"_ftnref9\"><sup>[9]<\/sup><\/a> Ces incidents ont affect\u00e9 plus de 10\u00a0% des syst\u00e8mes autonomes (AS) de l\u2019Internet. Il y a trois grands types d\u2019incidents de routage\u00a0:<\/p>\n<ul>\n<li><strong>L\u2019usurpation d\u2019identit\u00e9 num\u00e9rique,\u00a0<\/strong>lorsqu\u2019un op\u00e9rateur de r\u00e9seau ou un pirate usurpe l\u2019identit\u00e9 d\u2019un autre op\u00e9rateur de r\u00e9seau, en pr\u00e9tendant que c\u2019est le chemin correct vers le serveur ou le r\u00e9seau recherch\u00e9 sur Internet.<a href=\"#_ftn10\" name=\"_ftnref10\"><sup>[10]<\/sup><\/a><\/li>\n<li><strong>Les fuites de route,\u00a0<\/strong>repr\u00e9sentent la propagation d\u2019annonces de routage<a href=\"#_ftn11\" name=\"_ftnref11\"><sup>[11]<\/sup><\/a>au-del\u00e0 de leur port\u00e9e pr\u00e9vue (en violation de leurs politiques).<a href=\"#_ftn12\" name=\"_ftnref12\"><sup>[12]<\/sup><\/a><sup>,<\/sup><a href=\"#_ftn13\" name=\"_ftnref13\"><sup>[13]<\/sup><\/a><\/li>\n<li><strong>L\u2019usurpation d\u2019adresse IP,\u00a0<\/strong>lorsque quelqu\u2019un cr\u00e9e des paquets IP avec une fausse adresse IP d\u2019origine pour dissimuler l\u2019identit\u00e9 de l\u2019exp\u00e9diteur ou usurper l\u2019identit\u00e9 d\u2019un autre syst\u00e8me.<a href=\"#_ftn14\" name=\"_ftnref14\"><sup>[14]<\/sup><\/a><\/li>\n<\/ul>\n<p>Ces incidents peuvent provoquer une tension importante de l\u2019infrastructure, r\u00e9sultant en un abandon de trafic, fournissant les moyens d\u2019une inspection de trafic, ou m\u00eame pouvant \u00eatre utilis\u00e9s pour r\u00e9aliser des attaques d\u2019amplification du serveur du nom de domaine (DNS),<a href=\"#_ftn15\" name=\"_ftnref15\"><sup>[15]<\/sup><\/a>\u00a0ou d\u2019autres attaques d\u2019amplification r\u00e9flective (RA).<a href=\"#_ftn16\" name=\"_ftnref16\"><sup>[16]<\/sup><\/a><\/p>\n<p>Les meilleures pratiques de\u00a0s\u00e9curisation du routage sont d\u00e9j\u00e0 disponibles et sont consid\u00e9r\u00e9es comme tr\u00e8s efficaces contre ces formes d\u2019incidents de routage. Pour les fuites de route comme pour les usurpations d\u2019identit\u00e9 num\u00e9rique, les r\u00e9seaux peuvent utiliser des politiques de filtrage plus robustes<a href=\"#_ftn17\" name=\"_ftnref17\"><sup>[17]<\/sup><\/a>\u00a0pour d\u00e9terminer si de fausses\u00a0annonces sont faites par les r\u00e9seaux voisins. La validation de l\u2019origine de l\u2019IP<a href=\"#_ftn18\" name=\"_ftnref18\"><sup>[18]<\/sup><\/a>\u00a0peut \u00eatre utilis\u00e9e pour localiser le trafic d\u00e9tourn\u00e9 au moment o\u00f9 il quitte un r\u00e9seau ou y entre. Le trafic d\u00e9tourn\u00e9 peut alors \u00eatre filtrer, l\u2019emp\u00eachant alors d\u2019aller jusqu\u2019\u00e0 destination. Des efforts continus sont r\u00e9alis\u00e9s pour \u00e9laborer des outils encore plus efficaces, comme la Validation de l\u2019origine de la route (ROV),<a href=\"#_ftn19\" name=\"_ftnref19\"><sup>[19]<\/sup><\/a>\u00a0et renforcer les outils existants, comme la d\u00e9finition approfondie d\u2019un \u00ab\u00a0chemin plausible\u00a0\u00bb dans l\u2019acheminement arri\u00e8re en monodiffusion (uRPF).<a href=\"#_ftn20\" name=\"_ftnref20\"><sup>[20]<\/sup><\/a><\/p>\n<p>Le <strong>commun accord pour la s\u00e9curit\u00e9 de routage (MANRS)<\/strong><a href=\"#_ftn21\" name=\"_ftnref21\"><strong><sup>[21]<\/sup><\/strong><\/a><strong>\u00a0<\/strong>est un ensemble de pratiques visibles de r\u00e9f\u00e9rence pour que les op\u00e9rateurs de r\u00e9seau am\u00e9liorent la s\u00e9curit\u00e9 du syst\u00e8me de routage mondial. En 2014, un groupe d\u2019op\u00e9rateurs de r\u00e9seau\u00a0partageant la m\u00eame vision ont \u00e9labor\u00e9 le MANRS\u00a0par une initiative volontaire. Il d\u00e9finit quatre actions simples mais concr\u00e8tes \u00e0 mettre en \u0153uvre\u00a0par les op\u00e9rateurs de r\u00e9seau pour am\u00e9liorer \u00e9norm\u00e9ment la s\u00e9curit\u00e9 et la fiabilit\u00e9 de l\u2019Internet.<a href=\"#_ftn22\" name=\"_ftnref22\"><sup>[22]<\/sup><\/a> Les deux premi\u00e8res am\u00e9liorations (le filtrage et la validation\u00a0de l\u2019origine de l\u2019IP) r\u00e9solvent les causes fondamentales des incidents de routage courants.\u00a0 Les deux autres, (coordination<a href=\"#_ftn23\" name=\"_ftnref23\"><sup>[23]<\/sup><\/a>\u00a0et validation mondiale<a href=\"#_ftn24\" name=\"_ftnref24\"><sup>[24]<\/sup><\/a>) contribuent \u00e0 limiter l\u2019impact des incidents et diminuent la probabilit\u00e9 d\u2019incidents \u00e0 l\u2019avenir.<\/p>\n<p>Chaque action du MANRS\u00a0prescrit les r\u00e9sultats plut\u00f4t que des m\u00e9thodes sp\u00e9cifiques. Ceci permet la mise en \u0153uvre du changement dans la technologie. Le MANRS\u00a0cherche, en dehors des incidents de routage, \u00e0 r\u00e9soudre les d\u00e9fis de l\u2019\u00e9cosyst\u00e8me\u00a0dans le syst\u00e8me de routage mondial.\u00a0 Le MANRS\u00a0am\u00e9liore les incitations \u00e9conomiques\u00a0\u00e0 la s\u00e9curisation\u00a0du routage en permettant aux op\u00e9rateurs de r\u00e9seau de signaler leur position sur la s\u00e9curisation du routage aux clients, concurrents et d\u00e9cideurs politiques. Il procure aussi des indicateurs pour mesurer la s\u00e9curisation du routage. Les indicateurs du MANRS\u00a0peuvent aussi \u00eatre utilis\u00e9s comme une pr\u00e9cieuse \u00e9valuation d\u2019une tierce partie\u00a0des pratiques de s\u00e9curisation d\u2019un op\u00e9rateur de r\u00e9seau.<a href=\"#_ftn25\" name=\"_ftnref25\"><sup>[25]<\/sup><\/a><\/p>\n<p>Malgr\u00e9 l\u2019existence\u00a0de solutions aux incidents de routage courants, les d\u00e9fis de l\u2019\u00e9cosyst\u00e8me en limitent l\u2019utilisation.<\/p>\n<ul>\n<li><strong>Les incidents de routage sont difficiles \u00e0 r\u00e9soudre \u00e0 distance de l\u2019origine et doivent donc \u00eatre r\u00e9solus collectivement.<\/strong> Quelle que soit l\u2019origine d\u2019une menace, les r\u00e9seaux les plus proches de l\u2019origine sont les mieux positionn\u00e9s pour r\u00e9soudre la menace (p. ex. les r\u00e9seaux adjacents peuvet refuser d\u2019accepter les fausses annonces).<a href=\"#_ftn26\" name=\"_ftnref26\"><sup>[26]<\/sup><\/a> Quand un r\u00e9seau \u00e9loign\u00e9\u00a0de l\u2019origine est impact\u00e9 par un incident de routage, il ne peut qu\u2019essayer d\u2019en att\u00e9nuer l\u2019impact. Il doit s\u2019appuyer sur les autres r\u00e9seaux plus proches de l\u2019origine de l\u2019incident de routage pour r\u00e9soudre compl\u00e8tement le probl\u00e8me.<\/li>\n<li><strong>Externalit\u00e9s \u00e9conomiques.<\/strong> N\u2019importe quel r\u00e9seau peut \u00eatre \u00e0 l\u2019origine d\u2019un incident et l\u2019absence de s\u00e9curit\u00e9 d\u2019un r\u00e9seau peut impacter l\u2019ensemble des autres. Toutefois, m\u00eame si un incident de routage se produit dans le propre r\u00e9seau d\u2019un op\u00e9rateur, l\u2019impact se fera tr\u00e8s probablement sentir dans les autres r\u00e9seaux. Les op\u00e9rateurs de r\u00e9seau sont peu enclins \u00e0 d\u00e9penser des ressources sur une s\u00e9curisation du routage dans la mesure o\u00f9 ce sont plut\u00f4t les autres qui en r\u00e9colteront les b\u00e9n\u00e9fices, et non pas eux.<\/li>\n<li><strong>La s\u00e9curisation du routage n\u2019est pas un diff\u00e9renciateur de march\u00e9.<\/strong> Une bonnes\u00e9curisation du routage n\u2019est pas actuellement un instrument de marketing pour les op\u00e9rateurs de r\u00e9seau. Les op\u00e9rateurs de r\u00e9seau trouvent difficile de communiquer leur niveau de s\u00e9curisation de routage \u00e0 leurs clients. Les utilisateurs n\u2019ont qu\u2019une compr\u00e9hension limit\u00e9e du syst\u00e8me de routage mondial et de l\u2019impact sur eux\u00a0des pratiques de s\u00e9curisation du routage de leur r\u00e9seau.<\/li>\n<\/ul>\n<h4>Recommandations et principes directeurs<\/h4>\n<p>L\u2019action collective mondiale est la seule fa\u00e7on de r\u00e9soudre les menaces \u00e0 la s\u00e9curisation du routage et de renforcer cette m\u00eame s\u00e9curisation. Toutes les parties prenantes, y compris les gouvernements, ont un r\u00f4le important \u00e0 jouer pour am\u00e9liorer les incitations du march\u00e9 pour une meilleure s\u00e9curisation du routage, conduire l\u2019\u00e9laboration ou l\u2019adoption de meilleures pratiques, faire dispara\u00eetre les barri\u00e8res et renforcer la coop\u00e9ration. Toutefois, toute action doit \u00eatre r\u00e9alis\u00e9e avec attention pour ne pas limiter les forces du syst\u00e8me de routage mondial, y compris sa r\u00e9silience globale, sa facilit\u00e9 d\u2019utilisation, sa souplesse et son extensibilit\u00e9. Pour am\u00e9liorer la s\u00e9curisation du routage, nous devrions\u00a0:<\/p>\n<ul>\n<li><strong>pr\u00eacher par l\u2019exemple.<\/strong> Toutes<strong> les parties prenantes, y compris les gouvernements doivent am\u00e9liorer la s\u00e9curit\u00e9 et la fiabilit\u00e9 de l\u2019infrastructure en adoptant les meilleures pratiques pour leurs propres r\u00e9seaux.<\/strong>\n<ul>\n<li>Tous les r\u00e9seaux offrant une connectivit\u00e9 \u00e0 Internet, y compris les r\u00e9seaux d\u2019entreprise ou gouvernementaux, devraient utiliser le filtrage avec la validation de l\u2019origine de l\u2019IP\u00a0pour participer \u00e0 la pr\u00e9vention et l\u2019att\u00e9nuation des incidents.<\/li>\n<li>De plus, les acteurs de march\u00e9s influents, comme les grandes entreprises ou les gouvernements devraient, lorsque c\u2019est possible, exiger de leurs fournisseurs de service Internet\u00a0la conformit\u00e9 \u00e0 la s\u00e9curisation du routage\u00a0de r\u00e9f\u00e9rence, comme celle pr\u00e9sent\u00e9e par le MANRS pour leurs contrats d\u2019approvisionnement. Le MANRS\u00a0offre par l\u2019interm\u00e9diaire de son observatoire\u00a0les indicateurs qui peuvent servir de pr\u00e9cieuses \u00e9valuations d\u2019une tierce partie des pratiques de s\u00e9curisation d\u2019un op\u00e9rateur de r\u00e9seau. Ces \u00e9valuations peuvent participer \u00e0 la prise de d\u00e9cision d\u2019approvisionnement inform\u00e9e.<\/li>\n<\/ul>\n<\/li>\n<li><strong>faciliter et encourager l\u2019adoption de pratiques communes de s\u00e9curisation du routage.<\/strong> Les associations d\u2019industries, en \u00e9troite\u00a0collaboration\u00a0avec les gouvernements et autres parties prenantes, devraient promouvoir des r\u00e9f\u00e9rences communes de s\u00e9curisation du routage.\n<ul>\n<li>Offrir des r\u00e9f\u00e9rences communes aux op\u00e9rateurs de r\u00e9seau permet d\u2019avoir des normes par industrie pour la s\u00e9curisation du routage et promeut un plus grand partage des informations parmi les op\u00e9rateurs de r\u00e9seau.\u00a0 Cela fournit aussi aux op\u00e9rateurs de r\u00e9seau une m\u00e9thode pour informer la client\u00e8le potentielle de leur niveau de s\u00e9curit\u00e9.<\/li>\n<li>Toutes les parties prenantes peuvent contribuer \u00e0 l\u2019\u00e9laboration et l\u2019adoption de r\u00e9f\u00e9rences communes et des pratiques par industrie de s\u00e9curisation du routage en participant \u00e0 l\u2019\u00e9laboration des processus et si possible, \u00e0 leur financement.<\/li>\n<\/ul>\n<\/li>\n<li><strong>soutenir les efforts r\u00e9alis\u00e9s dans l\u2019\u00e9laboration de nouveaux outils de s\u00e9curisation du routage ou le renforcement des outils existants.<\/strong> Pour am\u00e9liorer davantage la s\u00e9curit\u00e9 du syst\u00e8me de routage mondial, les partenariats au sein de la communaut\u00e9 de chercheurs\u00a0peuvent contribuer \u00e0 l\u2019\u00e9laboration de la nouvelle g\u00e9n\u00e9ration d\u2019outils et de pratiques de s\u00e9curisation du routage.\n<ul>\n<li>Si possible, les parties prenantes, y compris les gouvernements et le secteur priv\u00e9 peuvent augmenter le financement pour la recherche, l\u2019\u00e9laboration et le d\u00e9ploiement exp\u00e9rimental de la nouvelle g\u00e9n\u00e9ration de protocoles Internet, y compris ceux qui am\u00e9liorent la s\u00e9curisation du routage.<\/li>\n<li>Les chercheurs peuvent \u00e9laborer des principes g\u00e9n\u00e9raux sur la fa\u00e7on d\u2019ex\u00e9cuter la validation de l\u2019origine de l\u2019IP, un filtrage efficace et une validation mondiale. Les conseils doivent aussi encourager les op\u00e9rateurs de r\u00e9seau \u00e0 mettre en \u0153uvre\u00a0BGPSec<a href=\"#_ftn27\" name=\"_ftnref27\"><sup>[27]<\/sup><\/a>et RPKI.<a href=\"#_ftn28\" name=\"_ftnref28\"><sup>[28]<\/sup><\/a><\/li>\n<\/ul>\n<\/li>\n<li><strong>encourager\u00a0l\u2019utilisation de la s\u00e9curit\u00e9 comme diff\u00e9renciateur\u00a0concurrentiel.<\/strong> Pour utiliser la s\u00e9curisation du routage comme diff\u00e9renciateur concurrentiel, les parties prenantes doivent<strong> encourager la sensibilisation du public \u00e0 l\u2019importance de la s\u00e9curisation\u00a0du routage et encourager une am\u00e9lioration de la communication \u00e0 propos de la s\u00e9curisation du routage entre le secteur\u00a0et ses\u00a0clients.<\/strong>\n<ul>\n<li>Pour les fournisseurs de service Internet, la s\u00e9curisation du routage est un composant cl\u00e9 de leur politique de s\u00e9curit\u00e9 globale. Informer sur leur attitude face \u00e0 la s\u00e9curisation du routage illustre fortement leur politique globale et peut diff\u00e9rencier leurs services de ceux de la concurrence.<\/li>\n<li>Les entreprises paieront davantage une meilleure s\u00e9curisation du routage, toutefois, ils doivent avoir les moyens de diff\u00e9rencier la bonne s\u00e9curisation du routage de la mauvaise. Dans le cadre d\u2019une \u00e9tude de 2017, 94\u00a0% des entreprises\u00a0indiquent accepter de payer davantage un fournisseur membre du MANRS\u00a0dans le cas d\u2019une situation concurrentielle.<a href=\"#_ftn29\" name=\"_ftnref29\"><sup>[29]<\/sup><\/a> La\u00a0m\u00eame \u00e9tude a aussi d\u00e9termin\u00e9 que la sensibilisation au MANRS\u00a0\u00e9tait marginale dans les entreprises avant cette derni\u00e8re.<\/li>\n<li>L\u2019industrie, les groupes de clients, les gouvernements et les autres parties prenantes doivent travailler ensemble \u00e0 la promotion de l\u2019utilisation des s\u00e9curisations\u00a0du routage de r\u00e9f\u00e9rence, tels que MANRS\u00a0comme diff\u00e9renciateurs concurrentiels. <a href=\"#_ftn30\" name=\"_ftnref30\"><sup>[30]<\/sup><\/a> De plus elles doivent soutenir les efforts de formation aupr\u00e8s\u00a0des entreprises locales au sujet de la s\u00e9curisation du routage et des meilleures pratiques existantes.<\/li>\n<\/ul>\n<\/li>\n<li><strong>renforcer la communication et la coop\u00e9ration entre les op\u00e9rateurs de r\u00e9seau et les autres parties prenantes.<\/strong> Les parties prenantes doivent soutenir l\u2019\u00e9laboration de meilleurs m\u00e9canismes de partage des informations, participer \u00e0 l\u2019\u00e9change d\u2019informations sur la s\u00e9curisation du routage et collaborer avec les autres parties prenantes \u00e0 la r\u00e9solution des menaces de s\u00e9curisation du routage.\n<ul>\n<li>Le secteur priv\u00e9, les gouvernements, la soci\u00e9t\u00e9 civile, les universit\u00e9s et les autres peuvent\u00a0\u00a0soutenir la mise en place\u00a0ou le renforcement des \u00e9quipes de r\u00e9ponse aux incidents de s\u00e9curit\u00e9 informatique (CSIRT). Les CSIRT\u00a0jouent un r\u00f4le important dans les \u00e9changes d\u2019informations et la coordination pour r\u00e9pondre aux incidents de routage et aux menaces li\u00e9es.<\/li>\n<\/ul>\n<\/li>\n<li><strong>identifie et r\u00e9pond aux obstacles juridiques pos\u00e9s par le partage d\u2019informations, la mise en \u0153uvre\u00a0des technologies de s\u00e9curisation du routage et participent \u00e0 la recherche \u00e0 propos des incidents de routage et des menaces li\u00e9es.<\/strong> Des obstacles juridiques peuvent g\u00eaner\u00a0les chercheurs et dissuader les op\u00e9rateurs de r\u00e9seau de d\u00e9ployer les solutions de s\u00e9curisation du routage et de partager les informations entre tous.\n<ul>\n<li>Identifier et \u00e9liminer\u00a0les obstacles juridiques et r\u00e9glementaires peuvent am\u00e9liorer le partage d\u2019informations et les r\u00e9ponses aux incidents de routage. Les parties prenantes, en particulier les chercheurs en s\u00e9curit\u00e9 peuvent craindre que la divulgation d\u2019incidents de s\u00e9curisations du routage et les menaces li\u00e9es les placent en mauvaise position juridique.\u00a0 Les obstacles juridiques peuvent aussi ralentir l\u2019\u00e9laboration et le d\u00e9ploiement de technologies de s\u00e9curisation du routage. En \u00e9laborant des solutions pour identifier les obstacles, les parties prenantes doivent faire tr\u00e8s attention \u00e0 leurs impacts potentiels sur la protection de la vie priv\u00e9e des personnes.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h4>Conclusion<\/h4>\n<p>Le syst\u00e8me de routage mondial est incroyablement r\u00e9silient. Sa structure d\u00e9centralis\u00e9e offre souplesse, extensibilit\u00e9 et long\u00e9vit\u00e9. Bien que sa structure ait jou\u00e9 un r\u00f4le crucial dans la croissance de l\u2019Internet, elle a aussi permis aux incidents de se produire.<\/p>\n<p>Les meilleures pratiques comme le commun accord pour la s\u00e9curit\u00e9 de routage fournissent aux op\u00e9rateurs de r\u00e9seau une direction claire pour r\u00e9soudre ces menaces de routage. Toutefois, toutes les parties prenantes doivent prendre des mesures pour relever les d\u00e9fis de l\u2019\u00e9cosyst\u00e8me faisant obstacle \u00e0 une large application des meilleures pratiques. Seule l\u2019action collective nous permettra de relever les d\u00e9fis de la s\u00e9curisation du routage tout en conservant les avantages d\u2019un syst\u00e8me de routage d\u00e9centralis\u00e9.<\/p>\n<hr \/>\n<p><strong>Notes<\/strong><\/p>\n<p><a href=\"#_ftnref1\" name=\"_ftn1\">[1]<\/a> Les paquets de r\u00e9seaux, ou \u00ab\u00a0paquets\u00a0\u00bb sont des donn\u00e9es envoy\u00e9es en utilisant un ou des r\u00e9seaux.<br \/>\n<a href=\"#_ftnref2\" name=\"_ftn2\">[2]<\/a> Le routage est la pratique de d\u00e9termination du moyen de transporter les donn\u00e9es d\u2019un endroit \u00e0 un autre par un ou des r\u00e9seaux<br \/>\n<a href=\"#_ftnref3\" name=\"_ftn3\">[3]<\/a> Les incidents de routage sont des mises \u00e0 jour du Border Gateway Protocol qui ont un impact n\u00e9gatif.<br \/>\n<a href=\"#_ftnref4\" name=\"_ftn4\">[4]<\/a> <a href=\"https:\/\/www.internetsociety.org\/fr\/blog\/2018\/01\/14000-incidents-2017-routing-security-year-review\/\">https:\/\/www.internetsociety.org\/blog\/2018\/01\/14000-incidents-2017-routing-security-year-review\/<\/a><br \/>\n<a href=\"#_ftnref5\" name=\"_ftn5\">[5]<\/a> Par exemple, en avril 2017, une fuite de route a caus\u00e9 une \u00ab\u00a0interruption \u00e0 grande \u00e9chelle qui a frein\u00e9 ou bloqu\u00e9 l\u2019acc\u00e8s \u00e0 des sites Web et des services en ligne pour des dizaines de soci\u00e9t\u00e9s japonaises.\u00a0\u00bb <a href=\"https:\/\/bgpmon.net\/bgp-leak-causing-internet-outages-in-japan-and-beyond\/\">https:\/\/bgpmon.net\/bgp-leak-causing-internet-outages-in-japan-and-beyond\/<\/a><br \/>\n<a href=\"#_ftnref6\" name=\"_ftn6\">[6]<\/a> Pendant plusieurs minutes en avril 2017, un op\u00e9rateur de r\u00e9seau suspect a d\u00e9tourn\u00e9 le trafic Internet de plusieurs services financiers. Si c\u2019\u00e9tait intentionnel, le d\u00e9tournement aurait pu servir \u00e0 donner la possibilit\u00e9 \u00e0 l\u2019op\u00e9rateur\u00a0de r\u00e9seau de lire des informations financi\u00e8res non crypt\u00e9es lors du passage sur son r\u00e9seau, ou d\u2019essayer de d\u00e9crypter les informations financi\u00e8res crypt\u00e9es.\u00a0 <a href=\"https:\/\/arstechnica.com\/information-technology\/2017\/04\/russian-controlled-telecom-hijacks-financial-services-internet-traffic\/\">https:\/\/arstechnica.com\/information-technology\/2017\/04\/russian-controlled-telecom-hijacks-financial-services-internet-traffic\/<\/a><br \/>\n<a href=\"#_ftnref7\" name=\"_ftn7\">[7]<\/a> Bien que les autres formes de s\u00e9curit\u00e9 (p.ex. la s\u00e9curit\u00e9 physique ou la s\u00e9curit\u00e9 des donn\u00e9es) sont importantes pour l\u2019ensemble des parties prenantes, y compris les op\u00e9rateurs de r\u00e9seau, ce document de politique g\u00e9n\u00e9rale est con\u00e7u pour se concentrer uniquement sur l\u2019am\u00e9lioration de la s\u00e9curisation du routage. Pour plus d\u2019information sur la fa\u00e7on de s\u00e9curiser l\u2019infrastructure des fournisseurs de services Internet, veuillez consulter :\u00a0<a href=\"https:\/\/www.rfc-editor.org\/rfc\/rfc3871.txt\">https:\/\/www.rfc-editor.org\/rfc\/rfc3871.txt<\/a><br \/>\n<a href=\"#_ftnref8\" name=\"_ftn8\">[8]<\/a> Un\u00a0<em>protocole de routage<\/em>\u00a0est la fa\u00e7on par laquelle un r\u00e9seau d\u00e9termine le chemin qu\u2019un paquet de donn\u00e9es doit prendre. Pour acheminer le trafic entre les r\u00e9seaux, ceux-ci utilisent le Border Gateway\u00a0Protocol\u00a0(BGP).<br \/>\n<a href=\"#_ftnref9\" name=\"_ftn9\">[9]<\/a> <a href=\"https:\/\/www.internetsociety.org\/fr\/blog\/2018\/01\/14000-incidents-2017-routing-security-year-review\/\">https:\/\/www.internetsociety.org\/blog\/2018\/01\/14000-incidents-2017-routing-security-year-review\/<\/a><br \/>\n<a href=\"#_ftnref10\" name=\"_ftn10\">[10]<\/a> Dans un cas d\u2019usurpation d\u2019identit\u00e9 num\u00e9rique, un op\u00e9rateur de r\u00e9seau ou un attaquant usurpe l\u2019identit\u00e9 d\u2019un autre op\u00e9rateur de r\u00e9seau, en pr\u00e9tendant que c\u2019est le chemin correct vers le serveur ou le r\u00e9seau recherch\u00e9 sur Internet.\u00a0 Cela cause l\u2019envoi de paquets au mauvais endroit, des attaques de d\u00e9ni de service (DoS) ou une interception du trafic.<br \/>\n<a href=\"#_ftnref11\" name=\"_ftn11\">[11]<\/a> Les r\u00e9seaux\u00a0<em>annoncent<\/em>\u00a0aux autres les d\u00e9tails des adresses disponibles dans leur r\u00e9seau ou les r\u00e9seaux d\u2019un client. Ces annonces permettent de d\u00e9terminer la fa\u00e7on dont les routeurs d\u00e9cident d\u2019acheminer le trafic jusqu\u2019\u00e0 sa destination. <em>les politiques d\u2019annonces<\/em>\u00a0d\u00e9terminent ce qu\u2019un r\u00e9seau annoncera \u00e0 son voisin.<br \/>\n<a href=\"#_ftnref12\" name=\"_ftn12\">[12]<\/a><a href=\"https:\/\/tools.ietf.org\/html\/rfc7908#section-2\">https:\/\/tools.ietf.org\/html\/rfc7908#section-2<\/a><br \/>\n<a href=\"#_ftnref13\" name=\"_ftn13\">[13]<\/a> Par exemple, un op\u00e9rateur de r\u00e9seau avec plusieurs fournisseurs en amont annonce \u00e0 un fournisseur en amont qu\u2019il a un chemin vers la destination gr\u00e2ce \u00e0 un autre fournisseur en amont (souvent \u00e0 cause d\u2019une mauvaise configuration accidentelle). Ou un r\u00e9seau important pourrait involontairement annoncer des routes \u00e0 tous ses r\u00e9seaux en aval. Si elle est malveillante, une fuite de route peut \u00eatre utilis\u00e9e pour une inspection et la reconnaissance du trafic, ou (souvent dans un cas accidentel) peut causer des tensions s\u00e9rieuses \u00e0\u00a0l\u2019infrastructure.<br \/>\n<a href=\"#_ftnref14\" name=\"_ftn14\">[14]<\/a> Dans le cas d\u2019une usurpation d\u2019adresse IP, quelqu\u2019un cr\u00e9e des paquets IP avec une fausse adresse IP d\u2019origine pour cacher l\u2019identit\u00e9 de l\u2019exp\u00e9diteur ou usurper l\u2019identit\u00e9 d\u2019un autre syst\u00e8me. L\u2019usurpation d\u2019adresse IP peut \u00eatre utilis\u00e9e pour faire des attaques d\u2019amplification du serveur de nom de domaine (DNS)<br \/>\n<a href=\"#_ftnref15\" name=\"_ftn15\">[15]<\/a> Une attaque d\u2019amplification du DNS\u00a0est r\u00e9alis\u00e9e en envoyant de nombreuses requ\u00eates \u00e0 de nombreux r\u00e9solveurs DNS\u00a0en usurpant l\u2019adresse IP de la victime\u00a0; un attaquant peut demander de nombreuses r\u00e9ponses des r\u00e9solveurs\u00a0DNS\u00a0pour r\u00e9pondre \u00e0 une cible, tout en n\u2019utilisant qu\u2019un syst\u00e8me unique pour r\u00e9aliser l\u2019attaque.<br \/>\n<a href=\"#_ftnref16\" name=\"_ftn16\">[16]<\/a> <a href=\"https:\/\/www.us-cert.gov\/ncas\/alerts\/TA14-017A\">https:\/\/www.us-cert.gov\/ncas\/alerts\/TA14-017A<\/a><br \/>\n<a href=\"#_ftnref17\" name=\"_ftn17\">[17]<\/a> Chaque r\u00e9seau d\u00e9termine ce qu\u2019il acceptera comme annonce des autres r\u00e9seaux, c\u2019est sa\u00a0<em>\u00ab\u00a0politique de filtrage\u00a0\u00bb.<\/em><br \/>\n<a href=\"#_ftnref18\" name=\"_ftn18\">[18]<\/a> La validation de l\u2019origine de l\u2019IP est une des techniques utilis\u00e9es que l\u2019adresse IP donn\u00e9e par un paquet provient d\u2019une adresse source valide.<br \/>\n<a href=\"#_ftnref19\" name=\"_ftn19\">[19]<\/a> <a href=\"https:\/\/www.nccoe.nist.gov\/sites\/default\/files\/library\/sp1800\/sidr-piir-nist-sp1800-14-draft.pdf\">https:\/\/www.nccoe.nist.gov\/sites\/default\/files\/library\/sp1800\/sidr-piir-nist-sp1800-14-draft.pdf<\/a><br \/>\n<a href=\"#_ftnref20\" name=\"_ftn20\">[20]<\/a> <a href=\"https:\/\/tools.ietf.org\/html\/draft-sriram-opsec-urpf-improvements-03\">https:\/\/tools.ietf.org\/html\/draft-sriram-opsec-urpf-improvements-03<\/a><br \/>\n<a href=\"#_ftnref21\" name=\"_ftn21\">[21]<\/a> <a href=\"https:\/\/www.manrs.org\/\">https:\/\/www.manrs.org\/<\/a><br \/>\n<a href=\"#_ftnref22\" name=\"_ftn22\">[22]<\/a> <a href=\"https:\/\/www.manrs.org\/manrs\/\">https:\/\/www.manrs.org\/manrs\/<\/a><br \/>\n<a href=\"#_ftnref23\" name=\"_ftn23\">[23]<\/a> Puisque les incidents de routage sont r\u00e9solus plus facilement lorsqu\u2019ils sont proches de leur origine, les actions d\u2019am\u00e9lioration de la coordination entre les op\u00e9rateurs de r\u00e9seau (qui peut \u00eatre aussi simple que d\u2019avoir ses coordonn\u00e9es publiquement disponibles et mises \u00e0 jour) sont vitales.<br \/>\n<a href=\"#_ftnref24\" name=\"_ftn24\">[24]<\/a> En documentant publiquement leur politique de routage et ce qu\u2019ils pensent annoncer aux parties externes, les autres peuvent valider leurs annonces.<br \/>\n<a href=\"#_ftnref25\" name=\"_ftn25\">[25]<\/a> Un portail en ligne pour conna\u00eetre ces indicateurs, l\u2019observatoire MANRS, est en cours d\u2019\u00e9laboration et devrait \u00eatre disponible fin\u00a02018.<br \/>\n<a href=\"#_ftnref26\" name=\"_ftn26\">[26]<\/a> \u00ab\u00a0En politique, une telle approche est appel\u00e9 un principe subsidiaire\u00a0: les solutions peuvent \u00eatre d\u00e9finies et mises en \u0153uvre\u00a0par l\u2019autorit\u00e9 comp\u00e9tente la plus petite, la plus basse ou la moins centralis\u00e9e. \u00bb <a href=\"https:\/\/www.internetsociety.org\/collaborativesecurity\/approach\/#_ftnref5\">https:\/\/www.internetsociety.org\/collaborativesecurity\/approach\/#_ftnref5<\/a><br \/>\n<a href=\"#_ftnref27\" name=\"_ftn27\">[27]<\/a> BSGSec est une extension du Border Gateway\u00a0Protocol\u00a0(BGP) qui offre une s\u00e9curit\u00e9 pour le chemin\u00a0des syst\u00e8mes autonomes (AS) par lesquels un message de mise \u00e0 jour BGP\u00a0passe. <a href=\"https:\/\/tools.ietf.org\/html\/rfc8205\">https:\/\/tools.ietf.org\/html\/rfc8205<\/a><br \/>\n<a href=\"#_ftnref28\" name=\"_ftn28\">[28]<\/a> \u00ab Avec RPKI, l\u2019infrastructure \u00e0 cl\u00e9 publique de ressource, les annonces d\u2019acheminement Border Gateway\u00a0Protocol\u00a0qui sont \u00e9mises par un routeur sont valid\u00e9es pour garantir que la route provient du d\u00e9tenteur de la ressource et que c\u2019est une route valide \u00bb. <a href=\"https:\/\/www.arin.net\/resources\/rpki\/\">https:\/\/www.arin.net\/resources\/rpki\/<\/a><br \/>\n<a href=\"#_ftnref29\" name=\"_ftn29\">[29]<\/a> Rapport d\u2019\u00e9tude sur le projet MANRS. 451 informations de recherche. <a href=\"https:\/\/www.routingmanifesto.org\/wp-content\/uploads\/sites\/14\/2017\/10\/MANRS-451-Study-Report.pdf\">https:\/\/www.routingmanifesto.org\/wp-content\/uploads\/sites\/14\/2017\/10\/MANRS-451-Study-Report.pdf<\/a><br \/>\n<a href=\"#_ftnref30\" name=\"_ftn30\">[30]<\/a> Le MANRS\u00a0en tant qu\u2019ensemble visible de meilleures pratiques et par ses indicateurs publics fournis par l\u2019observatoire MANRS, a le potentiel d\u2019\u00eatre un outil de marketing puissant pour les fournisseurs de service Internet.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Bien qu\u2019invisible aux yeux des utilisateurs moyens, le routage du protocole Internet (IP) soutient Internet. En veillant \u00e0 ce que les paquets[1] aillent o\u00f9 ils sont cens\u00e9s aller, le routage[2]\u00a0joue un r\u00f4le central dans le fonctionnement fiable de l\u2019Internet. Il garantit que les e-mails parviennent aux bons destinataires, que les sites de commerce \u00e9lectronique demeurent [&hellip;]<\/p>\n","protected":false},"author":46,"featured_media":0,"template":"","categories":[178,185,2545,4909,4775],"tags":[6250,6283],"region_news_regions":[6029],"content_category":[6105],"ppma_author":[4057],"class_list":["post-88970","resources","type-resources","status-publish","hentry","category-securite","category-confiance","category-manrs-fr","category-renforcer-internet","category-securite-fr","tag-les-normes-pour-la-securisation-du-routage-mutuellement-agreees-manrs","tag-securite-du-routage","region_news_regions-mondial","resource_types-ressource","content_category-resources-type"],"acf":[],"uagb_featured_image_src":{"full":false,"thumbnail":false,"medium":false,"medium_large":false,"large":false,"1536x1536":false,"2048x2048":false,"post-thumbnail":false,"square":false,"gform-image-choice-sm":false,"gform-image-choice-md":false,"gform-image-choice-lg":false},"uagb_author_info":{"display_name":"Ivana Trbovic","author_link":"https:\/\/www.internetsociety.org\/fr\/author\/trbovic\/"},"uagb_comment_info":0,"uagb_excerpt":"Bien qu\u2019invisible aux yeux des utilisateurs moyens, le routage du protocole Internet (IP) soutient Internet. En veillant \u00e0 ce que les paquets[1] aillent o\u00f9 ils sont cens\u00e9s aller, le routage[2]\u00a0joue un r\u00f4le central dans le fonctionnement fiable de l\u2019Internet. Il garantit que les e-mails parviennent aux bons destinataires, que les sites de commerce \u00e9lectronique demeurent\u2026","_links":{"self":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/resources\/88970","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/resources"}],"about":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/types\/resources"}],"author":[{"embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/users\/46"}],"wp:attachment":[{"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/media?parent=88970"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/categories?post=88970"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/tags?post=88970"},{"taxonomy":"region_news_regions","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/region_news_regions?post=88970"},{"taxonomy":"content_category","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/content_category?post=88970"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.internetsociety.org\/fr\/wp-json\/wp\/v2\/ppma_author?post=88970"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}