Le mauvais détour de l’acheminement du trafic mobile européen vers la Chine

Jeudi 6 juin 2019, le centre de données de l’entreprise helvète Safe Host a fait l’objet d’une fuite de route Border Gateway Protocol (BGP) : au total, 70 000 routes de sa table de routage interne ont leaké pendant deux heures. China Telecom, premier opérateur fixe et troisième opérateur mobile de Chine, s’est vu attribuer l’ensemble de ces routes susmentionnées, sans aucune explication rationnelle.

Bouygues Telecom et Numericable-SFR touchés

Le fleuron asiatique a donc acheminé une grande partie du trafic mobile européen via ses infrastructures. En d’autres termes, les communications de certains citoyens du Vieux Continent ont tout bonnement transité par la Chine. Conséquences : un grand nombre d’utilisateurs a essuyé une connexion lente et des difficultés à se connecter à certains serveurs, pendant au moins deux heures, donc.

« Parmi les réseaux européens les plus impactés figurent Swisscom (AS3303) de Suisse, KPN (AS1130) des Pays-Bas et Bouygues Telecom (AS5410) et Numericable-SFR (AS21502) de France », a indiqué Doug Madory, directeur du pôle analyse chez Oracle, qui se fait le relais de cet incident. Ce type d’incident de routage, justement, est relativement courant. Mais les erreurs BGP ne durent en général que quelques minutes, voire moins, car rapidement corrigées par les opérateurs concernés.

Crédit photo : glaborde7 via Pixabay

C’est d’ailleurs toute la problématique de ce phénomène observé au sein de Safe Host, plus grand centre de données de Suisse inauguré en 2017. China Telecom n’a pas été en mesure de rediriger le trafic en temps et en heure, laissant craindre une absence de procédures d’alerte capables à la fois de prévenir l’opérateur et de rectifier l’anomalie. Cela pose de facto un problème en matière de protection des données.

Pourquoi ? Car pendant 120 minutes, le géant asiatique a eu accès à un grand nombre de communications mobiles européennes. Or, en vertu de la loi chinoise sur le renseignement mise en place en 2017, les entreprises du pays sont dans l’obligation de « soutenir, assister et coopérer avec les efforts de renseignement national en accord avec la loi, et doivent protéger les secrets du renseignement national dont ils ont connaissance ».

Les petites manœuvres des services chinois

L’ISP (internet service provider), le pendant du FAI (fournisseur d’accès à internet) en Chine, se retrouve ainsi pris en étau : d’un côté, le manque de processus au sein de ses systèmes l’a empêché de stopper cette fuite de routage, dégradant au passage les communications européennes, et de l’autre, son devoir national l’obligerait à coopérer avec les renseignements chinois en cas de nécessité. L’État chinois n’a probablement pas passé toutes les communications européennes au crible, mais le doute subsiste sur le traitement ou l’enregistrement des communications provenant d’Europe.

Comme le note ZDNet, qui cite une étude universitaire menée sous la houlette de l’US NavalWar College et l’Université de Tel-Aviv, publiée en octobre 2018, le gouvernement chinois aurait, dans le passé, utilisé les ISP nationaux pour récolter des informations, et ce en détournant des routes BGP de manière à rediriger le trafic occidental via les infrastructures du pays. Et ainsi analyser les données des utilisateurs dans la foulée. L’incident Safe Host rappelle forcément ces accusations.