Invisible pour la plupart des internautes, BGP décide pourtant chaque jour du chemin emprunté par les données entre opérateurs, hébergeurs, entreprises et plateformes numériques. Ce protocole de routage, souvent décrit comme la « poste » d’Internet, permet à des milliers de réseaux indépendants de s’annoncer, de se joindre et de choisir leurs routes à l’échelle mondiale.
Le Border Gateway Protocol, plus connu sous l’acronyme BGP, est le protocole utilisé pour échanger des informations de routage entre des réseaux distincts. Ces réseaux sont appelés systèmes autonomes, ou AS pour Autonomous Systems. Un AS peut appartenir à un fournisseur d’accès à Internet, à un grand hébergeur, à un opérateur mobile, à une université, à une entreprise internationale ou à une plateforme de cloud.
Chaque système autonome possède un identifiant unique, appelé ASN. Par exemple, un opérateur télécom dispose généralement de son propre numéro d’AS afin d’annoncer les blocs d’adresses IP qu’il contrôle. BGP sert alors à dire aux autres réseaux : « ces adresses sont joignables par moi » ou « je connais un chemin pour atteindre ce réseau ». Sans ce mécanisme, Internet ne pourrait pas fonctionner comme un ensemble mondial interconnecté.
Internet n’est pas un réseau unique administré par une seule autorité technique. Il s’agit d’un assemblage de dizaines de milliers de réseaux, chacun géré selon ses propres règles commerciales, techniques et géographiques. Selon les données publiques observées dans les tables de routage mondiales, plus de 75 000 systèmes autonomes sont aujourd’hui visibles sur Internet, même si leur activité varie selon les régions et les politiques de routage.
Cette organisation décentralisée permet à un réseau situé en France d’échanger du trafic avec un réseau au Japon, en passant éventuellement par plusieurs opérateurs intermédiaires. Les accords entre acteurs prennent la forme de transit IP, lorsque l’un facture l’accès au reste d’Internet, ou de peering, lorsque deux réseaux échangent directement leur trafic, souvent dans un point d’échange Internet. BGP est le langage commun qui rend ces relations exploitables techniquement.
Lorsqu’un réseau veut rendre joignable un bloc d’adresses IP, il l’annonce à ses voisins BGP. Cette annonce contient notamment le préfixe IP concerné, par exemple un bloc IPv4 comme 203.0.113.0/24, et le chemin d’AS à traverser pour l’atteindre. Ce chemin, appelé AS path, constitue l’un des attributs les plus importants du protocole.
Un routeur BGP ne diffuse pas simplement toutes les informations qu’il reçoit. Il applique des politiques définies par l’administrateur du réseau. Un opérateur peut, par exemple, préférer une route moins coûteuse commercialement à une route techniquement plus courte. Cette logique explique pourquoi BGP est souvent qualifié de protocole de routage piloté par la politique, et pas seulement par la performance brute.
Quand plusieurs chemins existent vers une même destination, BGP doit en sélectionner un. Contrairement à certains protocoles internes qui privilégient automatiquement le chemin le plus rapide ou le plus court en nombre de routeurs, BGP suit une série de critères hiérarchisés. Parmi eux figurent le local preference, la longueur de l’AS path, l’origine de la route ou encore le MED, un attribut utilisé pour suggérer une préférence d’entrée dans un réseau.
Dans la pratique, un fournisseur d’accès peut recevoir deux annonces pour joindre le même service en ligne : l’une via un partenaire de peering local, l’autre via un fournisseur de transit international. Même si la seconde route semble techniquement stable, la première peut être favorisée pour réduire les coûts et améliorer la latence. Le fonctionnement reste donc à la fois technique et économique, ce qui distingue fortement le routage interdomaines du routage interne à une entreprise.
BGP existe sous deux formes principales. eBGP, pour external BGP, est utilisé entre deux systèmes autonomes différents. C’est le cas lorsqu’un opérateur échange des routes avec un autre opérateur ou avec un grand client disposant de son propre ASN. iBGP, pour internal BGP, sert au contraire à propager les routes BGP à l’intérieur d’un même système autonome, entre les routeurs du réseau.
Cette distinction est essentielle chez les opérateurs de taille importante. Un réseau national peut compter des routeurs à Paris, Lyon, Marseille ou Lille, tous devant connaître les routes reçues depuis l’extérieur. BGP ne transporte pas les données des utilisateurs lui-même : il indique seulement aux routeurs où les envoyer. Les paquets IP suivent ensuite le chemin choisi, qu’il s’agisse de trafic web, de messagerie, de vidéo ou d’applications professionnelles. L’évolution des adresses joue aussi un rôle, notamment avec la transition progressive d’IPv4 vers IPv6, car BGP doit annoncer et transporter des routes pour les deux familles d’adresses.
Le protocole BGP s’appuie sur plusieurs attributs pour qualifier les routes. Le local preference indique à un réseau quelle sortie privilégier pour atteindre une destination. L’AS path liste les systèmes autonomes traversés et peut être volontairement allongé, par une technique appelée AS path prepending, afin de rendre une route moins attractive. Le next hop précise l’adresse du prochain routeur à joindre.
Ces attributs donnent aux administrateurs un contrôle fin sur le trafic entrant et sortant. Une entreprise connectée à deux opérateurs peut ainsi privilégier l’un pour ses flux principaux et conserver l’autre comme secours. Cette redondance, appelée multihoming, améliore la disponibilité. Elle suppose toutefois une configuration rigoureuse, car une annonce trop large ou mal filtrée peut affecter bien au-delà du réseau concerné. À un autre niveau de l’infrastructure Internet, des mécanismes de confiance existent aussi pour d’autres protocoles, comme la validation cryptographique apportée par DNSSEC dans la résolution de noms de domaine.
BGP repose historiquement sur une relation de confiance entre réseaux. Cette caractéristique a contribué à sa souplesse, mais elle expose aussi Internet à des incidents. Une erreur de configuration peut conduire un AS à annoncer des préfixes qu’il ne devrait pas annoncer. Les autres réseaux peuvent alors croire, à tort, que ce chemin est valide. On parle de route leak ou, dans les cas les plus graves, de BGP hijacking.
Des incidents publics ont montré l’ampleur possible du problème. En 2008, une mauvaise annonce impliquant Pakistan Telecom a rendu YouTube difficilement accessible dans une partie du monde pendant environ deux heures. En 2021, une panne majeure chez Meta a été liée au retrait de routes BGP, rendant temporairement inaccessibles Facebook, Instagram et WhatsApp. Ces événements rappellent que le routage mondial dépend d’annonces précises, bien filtrées et rapidement propagées.
Les conséquences se voient parfois très loin de la couche de routage. Un site web peut être parfaitement configuré côté serveur, utiliser le chiffrement HTTPS et répondre correctement aux navigateurs, mais rester inaccessible si les routes vers son réseau disparaissent. À l’inverse, la sécurité applicative continue de dépendre d’autres protocoles, comme l’établissement d’une connexion HTTPS avec TLS, qui intervient après que le réseau a permis de joindre l’adresse de destination.
Pour réduire les risques, les opérateurs utilisent plusieurs méthodes de protection. Le filtrage des préfixes consiste à vérifier qu’un voisin BGP n’annonce que les routes qu’il est censé annoncer. Les bases de données d’Internet Routing Registry peuvent servir à documenter ces autorisations, même si leur qualité dépend de la mise à jour par les acteurs concernés. Une pratique devenue centrale est l’usage de RPKI, pour Resource Public Key Infrastructure.
RPKI permet d’associer cryptographiquement un préfixe IP à un système autonome autorisé à l’annoncer, au moyen d’objets appelés ROA. Les routeurs peuvent alors marquer une route comme valide, invalide ou inconnue. Cette validation ne règle pas tous les problèmes de BGP, notamment les fuites de routes complexes, mais elle limite les annonces manifestement illégitimes. Son adoption progresse chez les opérateurs, les grands hébergeurs et les réseaux de diffusion de contenu.
La supervision reste également indispensable. Les équipes réseau surveillent les changements de routes, les variations inhabituelles d’AS path et la visibilité mondiale de leurs préfixes. Des plateformes publiques permettent d’observer en temps quasi réel les annonces BGP. Cette transparence aide à détecter rapidement les anomalies, mais elle ne remplace pas une politique de routage prudente et des accords techniques clairement établis entre partenaires.
Pour l’internaute, BGP est invisible tant qu’il fonctionne. Pourtant, il influence la latence, la résilience et parfois l’accessibilité des services. Une vidéo hébergée sur un CDN proche géographiquement peut se charger plus vite si le fournisseur d’accès dispose d’un bon accord de peering. À l’inverse, un mauvais choix de route peut faire traverser plusieurs pays à des données qui auraient pu rester sur un chemin plus direct.
Le protocole intervient en amont de nombreuses couches plus familières du web. Avant qu’un navigateur reçoive une page, il faut résoudre un nom de domaine, établir une connexion réseau, éventuellement négocier TLS, puis échanger des requêtes HTTP. Les performances perçues peuvent ensuite dépendre de mécanismes applicatifs comme la réponse HTTP 304 utilisée pour éviter de retransférer des ressources inchangées, mais tout commence par la capacité du réseau à trouver une route fiable.
BGP demeure donc l’un des fondements les plus critiques d’Internet. Son fonctionnement reflète la nature même du réseau mondial : décentralisé, coopératif, concurrentiel et imparfait. Les opérateurs n’y cherchent pas seulement le chemin le plus court, mais le chemin acceptable selon des critères de coût, de contrôle, de sécurité et de disponibilité. C’est cette combinaison qui permet, chaque seconde, à des milliards de paquets de passer d’un réseau autonome à un autre.
