AnonSecLab Logo

04 Feb 2026 ~ 4 min read

BGP Hijacking : quand un simple email peut détourner 10% d'Internet

L’Internet repose sur la confiance aveugle

Border Gateway Protocol (BGP) est le protocole de routage qui fait fonctionner Internet depuis 1994. Chaque AS (Autonomous System) annonce ses préfixes IP à ses voisins, qui propagent ces annonces de proche en proche. Le problème ? BGP ne vérifie rien. Si un opérateur annonce qu’il possède 1.1.1.1/24 (Cloudflare), tous les routeurs le croient sur parole.

En avril 2010, China Telecom a accidentellement annoncé 50 000 préfixes appartenant à d’autres AS. Pendant 18 minutes, 15% du trafic Internet mondial a transité par Pékin, y compris celui du Pentagone et de services bancaires américains.

Pourquoi c’est possible : l’absence d’auth

ÉTAPE 1 : Attaquant (AS 64512) annonce 8.8.8.0/24
ÉTAPE 2 : Les routeurs voisins acceptent l'annonce
ÉTAPE 3 : Propagation globale en ~2-3 minutes
ÉTAPE 4 : Le trafic vers 8.8.8.8 (Google DNS) est redirigé vers AS 64512

Aucun contrôle d’identité. Aucun certificat. Aucune signature cryptographique (avant RPKI). L’annonce BGP est juste un paquet TCP avec un AS-PATH et un préfixe.

Cas historiques de hijacking

YouTube vs Pakistan Telecom (2008)
Le gouvernement pakistanais ordonne à Pakistan Telecom de bloquer YouTube localement. L’opérateur annonce maladroitement 208.65.153.0/24 (préfixe YouTube) au monde entier. Résultat : YouTube inaccessible mondialement pendant 2h.

MyEtherWallet (2018)
Un attaquant hijacke les préfixes d’Amazon Route 53 pour rediriger le trafic DNS de MyEtherWallet vers un serveur contrôlé. Les utilisateurs voient le vrai certificat SSL (via BGP hijack + DNS spoofing) et entrent leurs clés privées. $152,000 volés en 2 heures.

Rostelecom (2017)
L’opérateur russe annonce des préfixes de Visa, MasterCard et plusieurs banques mondiales. Trafic intercepté pendant 7 minutes avant correction.

L’asymétrie structurelle

Les Tier 1 ISPs (Level3, Cogent, NTT, Telia) n’ont pas de transit payant. Ils échangent du trafic en peering gratuit et contrôlent la topologie globale. Un hijack initié par un Tier 1 se propage instantanément à 70% d’Internet.

Les petits AS sont impuissants : si votre préfixe /24 est hijacké par un /23 plus spécifique, vous perdez. La règle BGP favorise les annonces les plus précises. Un attaquant peut fragmenter votre espace IP et vous voler une partie du trafic de façon permanente si personne ne réagit.

RPKI : solution ou illusion ?

Resource Public Key Infrastructure (RPKI) permet de signer cryptographiquement les annonces BGP. En théorie, un routeur peut rejeter une annonce non signée. En pratique :

  • Adoption < 30% au niveau global (2026)
  • Les Tier 1 n’activent pas le filtering strict (peur de casser le trafic)
  • Un AS peut signer un ROA pour un préfixe qui ne lui appartient pas si le RIR (RIPE, ARIN) ne vérifie pas l’ownership

Le hijack reste possible même avec RPKI si l’attaquant est un AS légitime (via corruption interne, backdoor gouvernementale, ou compromission du système d’enregistrement).

Détection en temps réel

Des projets open-source comme BGPmon, RIPE RIS, et RouteViews collectent les annonces BGP globales. Vous pouvez détecter un hijack via :

  1. Alerte AS-PATH anormal : si votre préfixe apparaît dans un AS-PATH inconnu → hijack probable
  2. MOAS (Multiple Origin AS) : plusieurs AS annoncent le même préfixe → conflit
  3. Longueur de préfixe suspecte : si quelqu’un annonce /24 alors que vous avez /23 → sub-prefix hijack

Temps de réaction critique : vous avez ~5-10 minutes avant que le hijack soit accepté par 80% des routeurs mondiaux.

L’arme géopolitique

La Chine, la Russie et certains pays du Golfe utilisent le BGP hijacking comme outil de censure et d’espionnage. En 2018, le Great Firewall chinois a utilisé des annonces BGP pour blackholer les IPs de VPNs commerciaux.

En 2022, pendant l’invasion de l’Ukraine, des opérateurs russes ont hijacké temporairement les préfixes d’opérateurs ukrainiens pour couper les communications.

BGP est un protocole de guerre froide conçu pour un Internet académique de 1000 AS qui se faisaient confiance. Aujourd’hui, avec 75 000 AS et des acteurs étatiques hostiles, la confiance aveugle est une vulnérabilité systémique.

Conclusion : la fragilité invisible

Vous utilisez BGP chaque seconde sans le savoir. Chaque requête DNS, chaque paquet TCP, chaque email traverse des dizaines d’AS qui se font confiance mutuellement. Un seul opérateur malveillant suffit pour détourner le trafic de millions d’utilisateurs.

RPKI aide, mais ne résout pas le problème de fond : Internet repose sur un protocole sans authentification, optimisé pour la rapidité, pas pour la sécurité. Le jour où un Tier 1 sera compromis (via backdoor étatique ou corruption), c’est l’ensemble du réseau qui sera à risque.

La question n’est pas “si” mais “quand”.

AnonSecLab

Un espace d'apprentissage et de partage autour de la cybersécurité, de la vie privée et de la liberté numérique.

Contact

contact@anonseclab.org Discord: 0101x2x

Pour toute demande (suppression de données, questions, etc.)