Recommandations et bonnes pratiques de configuration des protocoles BGP et DNS

Le protocole BGP permet d’échanger des informations de routage et d’accessibilité de réseaux (appelés préfixes) entre les systèmes autonomes (AS) qui composent l’infrastructure Internet. Tout acteur disposant d’un ou plusieurs AS (Fournisseur de service de transit Internet, fournisseur d’accès Internet, point d’échange, etc.) apporte, ainsi, sa contribution au bon fonctionnement de l’Internet mais aussi son lot de vulnérabilités spécifiques, notamment celles qui permettent aux “hackers” d’usurper des préfixes.

Par ailleurs, pour faciliter l’exploitation du web, le service DNS permet de surmonter la difficulté d’utiliser les longues séries de chiffres que représentent les adresses IP en leur associant des noms de domaines. Toutefois, plusieurs cyberattaques (DNS ID Spoofing, DNS Cache Poisoning, etc.) permettent aux pirates de faire correspondre des adresses IP de machines qu’ils contrôlent à des noms réels et valides de machines publiques.

Pour contrer ces défaillances, le présent document détaille les bonnes pratiques se rapportant aux protocoles BGP et DNS. Les acteurs de l’Internet au niveau national devraient s’approprier ces recommandations afin d’être en mesure d’anticiper, d’une part, les attaques par déni de service distribué (Distributed Denial of Service ou DDoS) et d’autre part, d’assurer l’intégrité et l’authenticité des réponses DNS.