Un simple clic pour paralyser un réseau : les failles RPKI décryptées

L'internet repose sur la confiance en ses routes. Les opérateurs font confiance aux outils qui gèrent les autorisations de routage. Mais un simple XSS peut tout faire basculer.

Des chercheurs ont mis au jour une chaîne d'attaques contre l'infrastructure RPKI de RIPE NCC. Ce système sécurise les routes en Europe, Moyen-Orient et Asie centrale. Un lien piégé suffit à isoler un réseau entier du web.

RPKI, c'est quoi et pourquoi ça compte ?

RPKI, ou Resource Public Key Infrastructure, combat les hijacks de routes. Il empêche quiconque d'annoncer vos IP à votre place.

Ça passe par des ROAs : des déclarations cryptées qui valident qui peut annoncer quels préfixes IP. Publiées dans un registre global, elles sont vérifiées par les routeurs du monde.

En théorie, imparable. En pratique, tout dépend du web app qui les gère. RPKI, c'est un site web. Avec HSM, rotations de clés et audits SOC 2. Mais l'authentification ? Un cookie de session banal.

La chaîne d'attaque : du lien innocent à l'isolement total

Voici comment ça se déroule :

Étape 1 : Ingénierie sociale
L'attaquant crée un lien vers RIPE Atlas, outil de diagnostic fiable de RIPE NCC. Les ingénieurs cliquent souvent dessus. Un message du style "Problème de routage chez toi ?" fait mouche.

Étape 2 : Payload discret
La victime, loggée sur un service RIPE, ouvre le lien. XSS s'exécute en silence. La page charge normalement. Mais du JavaScript pirate la session authentifiée.

Étape 3 : Prise de contrôle des ROAs
Le code modifie tous les ROAs dans le dashboard RPKI. Il les remplace par des autorisations bloquantes : "Ne routez pas ces IP". La victime ne voit rien.

Étape 4 : Déconnexion rapide
Les autres réseaux appliquent les faux ROAs. Le trafic de la victime est rejeté. Dans un test, perte d'accès à Cloudflare en 26 minutes. 80 % des réseaux l'isolaient en une heure.

Pourquoi c'est une tempête parfaite ?

Des choix d'architecture ont amplifié une banale XSS :

Cookies de session partagés
Les services RIPE partagent les cookies entre domaines. Une faille sur RIPE Atlas ouvre le dashboard RPKI. Confiance totale = faille totale.

Pas de CSRF
Aucune protection contre Cross-Site Request Forgery sur les changements d'état. Un simple passage sur la page suffit.

Alertes désactivables
Les notifications de modifs ROA existent, mais se désactivent via l'interface vulnérable. Adieu surveillance.

Entrées cachées
La brèche ? Des champs DNS anodins. Rappel : tout input est une porte d'entrée.

Les conséquences en cascade

Au-delà de la déconnexion :

• Isolement réseau : Le réseau légitime paraît HS.
• Confusion opératoire : La cause reste invisible.
• Hijack de base RIPE : Prise de contrôle d'objets database, verrouillage manuel par RIPE pendant des jours.
• Aide au hijack BGP : Les faux ROAs légitiment des routes malveillantes.

Leçons pour la sécu infra

Cette affaire enseigne des vérités dures :

1. Séparez les domaines
Pas de cookies multi-domaines. Authentification par service, stricte.

2. Defense in depth obligatoire
XSS ne doit pas tout ouvrir. CSRF tokens, CSP stricts, réauth pour actions critiques.

3. L'humain clique, assumez-le
Les ingénieurs vérifient les liens suspects. Votre archi doit survivre au clic.

4. Tous les champs comptent
Même les "débogages DNS". Validez tout, partout.

5. Monitoring indépendant
Alertes hors du système modifiable. Sinon, c'est du vent.

Les correctifs appliqués

Après 14 mois de disclosure responsable, RIPE NCC a patché :

• XSS multi-services.
• CSRF sur tout changement.
• Restriction cookies par domaine.
• Alertes indésactivables.
• Validation inputs oubliés.

Conseils pour votre infra

Gérez-vous DNS, RPKI, BGP ? Vérifiez ça :

Auditez les sessions. Où vos cookies voyagent-ils ? Un XSS contamine-t-il tout ?

Testez CSRF en profondeur. Les scanners loupes les cas complexes.

Authentification tiercée. Réauth (TOTP, token hardware) pour le critique.

Anticipez le phishing. Survivez au clic malveillant.

Input = untrusted. Codage et validation partout.

La vérité qui dérange

Cette chaîne d'attaques échappe aux audits classiques. Elle mélange DNS, web sécu et BGP. Des choix isolés deviennent fatals ensemble.

Les outils de routage méritent mieux qu'une sécu web standard. Avec l'automatisation croissante, "juste un site" impose une rigueur extrême.

Un clic. 80 % de perte. Jours de récup'. C'est réparé, mais nos chaînes sécu restent fragiles. Les maillons faibles se cachent là où on ne regarde pas.