Résumé
- L'adoption du RPKI comporte au moins trois dimensions distinctes: la couverture des autorisations, l'utilisation des validateurs et l'application du routage. Les combiner en un seul pourcentage cache où la sécurité s'améliore et où l'erreur institutionnelle gagne en portée.
- Le bénéfice sécuritaire est substantiel car une origine non autorisée peut être classifiée par rapport à une autorité de ressources cryptographiquement vérifiable. La classification ne prouve toutefois pas l'intention ni n'identifie si une route Invalide reflète une attaque, des données obsolètes, un transfert, une erreur de longueur maximale ou un arrangement de service légitime.
- Les mesures de 2023 à 2024 ont montré une croissance rapide des préfixes couverts par des ROA tandis que des milliers d'annonces Invalides persistaient, la plupart attribuables à des conditions opérationnelles identifiables. Une couverture accrue augmente donc à la fois la capacité défensive et le coût d'une autorisation incorrecte.
- Une incohérence de publication du RIPE NCC en janvier 2021 a montré comment un transfert de ressources, des mises à jour asynchrones de certificats et des comportements de validateurs différents pouvaient amplifier une erreur étroite. La leçon n'est pas que le RPKI a échoué, mais que l'adoption transforme les détails d'implémentation en contrôles de risque institutionnel.
- La portabilité des certificats, le contrôle délégué, la publication atomique, la validation diversifiée, l'observation externe des routes et la correction répétée doivent croître avec l'adoption. La redondance au niveau du validateur ne peut guérir un fait erroné commun émis plus haut dans la chaîne d'autorité.
- L'indemnisation devrait être attachée aux actes contrôlés. Les détenteurs de ressources restent responsables de leurs autorisations; les fournisseurs de certification et de référentiels doivent supporter les conséquences des défaillances évitables qu'ils contrôlent; les opérateurs validants restent responsables du traitement de routage qu'ils choisissent.
- La Number Resource Society peut soutenir l'adoption en plaidant pour des limites d'autorité claires, des droits de preuve, la portabilité et l'allocation des pertes comme des protections ordinaires des membres plutôt que des faveurs discrétionnaires offertes après une panne. Elle n'exploite pas le système de certificats ou de routage.
L'adoption modifie le coefficient d'incident
Les technologies de sécurité sont souvent évaluées en comptant le déploiement et en estimant les attaques bloquées. Cette approche est nécessaire mais incomplète pour une infrastructure hiérarchique. Le déploiement modifie non seulement la probabilité qu'une mauvaise annonce soit arrêtée, mais aussi le nombre de réseaux qui peuvent réagir à la même erreur en amont.
Considérons un préfixe sans autorisation. Une annonce d'origine accidentelle ou hostile entre dans un environnement de routage où les contrôles BGP ordinaires, les filtres et les relations commerciales déterminent la propagation. La couverture RPKI ajoute une déclaration signée sur l'origine autorisée et la longueur de préfixe permise. Un réseau validant peut comparer la route à cette déclaration. Si la route entre en conflit, le réseau peut la rejeter, réduire sa préférence, contraindre l'exportation ou la marquer pour investigation.
Le fait partagé permet à de nombreux réseaux de prendre une meilleure décision sans contrôleur de routage central.
Considérons maintenant une déclaration signée incorrecte. Le détenteur peut omettre une origine légitime, définir une longueur maximale inappropriée, ne pas mettre à jour l'autorisation lors d'un changement de service ou perdre l'accès rapide à son compte. Une autorité de certification parente peut mettre à jour la portée des ressources de manière incohérente. Un référentiel peut publier un état incomplet. Un déposant peut appliquer une interprétation qui transforme un défaut étroit en rejet d'un ensemble plus large. La même distribution qui rend la preuve correcte utile rend la preuve incorrecte conséquente.
La relation d'échelle n'est pas parfaitement linéaire. Les opérateurs appliquent différentes politiques. Certains rejettent les annonces Invalides; d'autres ne font que les déprécier ou les appliquer à des frontières sélectionnées. L'état mis en cache et le moment de rafraîchissement diffèrent. Les routes de couverture peuvent préserver une atteignabilité partielle. Un réseau de contenu, un fournisseur d'accès et une petite entreprise ne sont pas exposés de la même manière. Pourtant, la direction est claire: à mesure que des réseaux plus conséquents utilisent la classification, le coût externe attendu d'une erreur en amont augmente.
Cela peut être décrit comme un coefficient d'incident. Le défaut initiateur est multiplié par la portée du certificat, la distribution du référentiel, l'interprétation du validateur, la rigueur de la politique de routage, la topologie et la durée. L'adoption augmente le coefficient de protection contre les origines non autorisées et peut augmenter le coefficient nuisible pour l'état Invalide erroné. Une gouvernance mature essaie de maximiser le premier tout en limitant le second. Un graphique de déploiement seul ne rend compte ni de l'un ni de l'autre.
Couverture, validation et application sont des dénominateurs différents
Le discours public dit souvent qu'un pays, une région ou une partie de l'Internet a adopté le RPKI. L'expression peut se référer à au moins trois actes différents.
Le premier est l'autorisation. Un détenteur de ressources crée une ROA couvrant une plage d'adresses et identifie un ou plusieurs systèmes autonomes autorisés à l'originer, sous réserve de contraintes de longueur de préfixe. La couverture peut être comptée par préfixes annoncés, unités d'adresses, paires d'origine ou ressources enregistrées. Chaque dénominateur répond à une question différente. Un petit nombre de grands blocs d'adresses peut dominer une mesure pondérée par les adresses, tandis que de nombreux petits réseaux dominent un nombre de préfixes. Les chiffres IPv4 et IPv6 ne doivent pas être fusionnés.
Le second est la validation. Un déposant récupère le matériel du référentiel, valide les certificats et les objets signés, et produit des charges utiles validées pour les routeurs ou les systèmes de politique. Un réseau peut exploiter plusieurs validateurs pour la résilience. L'observation publique fournit rarement un recensement complet car l'infrastructure de récupération peut être cachée derrière des résolveurs, des proxys ou des services partagés. Compter les instances visibles n'équivaut pas à compter les réseaux autonomes, et compter les réseaux n'équivaut pas à compter le trafic.
Le troisième est l'application. Un routeur ou un système de politique de route utilise l'état de validation. Il peut rejeter les routes Invalides, réduire la préférence locale, les marquer pour un traitement sélectif, protéger les relations clients différemment des pairs, ou observer sans modifier la sélection. L'application peut être partielle selon la famille d'adresses, la classe de routeur, l'emplacement ou la relation commerciale. Elle peut également changer pendant un incident.
Ces dénominateurs interagissent mais doivent rester séparés. Une couverture ROA élevée avec une application faible crée des preuves que de nombreux réseaux n'utilisent pas encore de manière décisive. Une application forte avec des autorisations incomplètes ou de mauvaise qualité peut créer des déconnexions évitables. De nombreux validateurs exécutant le même logiciel contre le même état signé incorrect fournissent une redondance opérationnelle mais pas une diversité factuelle. Quelques grands réseaux de transit ou de contenu appliquant à grande échelle peuvent affecter plus de chemins que des milliers de petits validateurs.
Le rapport annuel 2025 du RIPE NCC illustre pourquoi la définition est importante. Il a rapporté une couverture ROA IPv4 passant de 71 % à 75 %, la couverture IPv6 de 40 % à 42 %, les ROA validés passant de 47 566 à 54 857, et les certificats passant de 21 045 à 21 751 dans son contexte de service. Ce sont des indicateurs utiles de la croissance des autorisations. Ils n'établissent pas la part du trafic mondial soumise au rejet, la configuration de chaque validateur ou la conséquence d'atteignabilité d'une future erreur. Les affirmations institutionnelles devraient énoncer exactement quelle couche et quel dénominateur elles ont mesurés.
Le gain de sécurité est réel et ne doit pas être dilué
La critique de la concentration est parfois utilisée avec désinvolture, comme si toute hiérarchie rendait la validation d'origine indésirable. Cette conclusion ignore le problème de base. BGP n'a pas été conçu pour établir une autorité cryptographique pour chaque annonce d'origine. Les attaquants et les configurations erronées accidentelles peuvent annoncer le préfixe d'un autre réseau. Les filtres de préfixes traditionnels, les données du registre de routage Internet, la connaissance bilatérale et la réponse opérationnelle aident, mais ils sont inégaux et souvent difficiles à maintenir à l'échelle mondiale.
RPKI fournit une réponse bornée et vérifiable par machine: le préfixe et l'origine annoncés correspondent-ils à au moins une autorisation valide dérivée de la chaîne de certificats de ressources pertinente? Cette réponse ne sécurise pas tout le chemin, ne prouve pas l'intention bénéfique ni ne garantit la disponibilité. Elle élimine néanmoins l'ambiguïté exploitée par les attaquants et les erreurs. Lorsqu'une annonce non autorisée plus spécifique ou de mauvaise origine est rejetée par des réseaux ayant une portée topologique significative, le trafic est moins susceptible d'être détourné ou mis en trou noir via cette annonce.
Le bénéfice s'étend également avant un incident. Les opérateurs peuvent surveiller leurs propres ressources, détecter des autorisations obsolètes ou conflictuelles, et tester des changements de route proposés. Les fournisseurs de transit peuvent construire des contrôles clients plus clairs. Les moniteurs publics peuvent comparer l'autorisation signée avec l'état BGP observé. Les équipes d'approvisionnement et de risque peuvent demander si les routes sont couvertes et si l'opérateur a une pratique de correction. Ce sont de véritables améliorations de la qualité des preuves.
La réponse correcte au risque institutionnel n'est donc pas de préserver un environnement de routage moins responsable. C'est d'exiger que la nouvelle autorité soit aussi observable et contestable que les conséquences qu'elle peut créer. La validation d'origine de route devient plus défendable lorsque les détenteurs conservent un contrôle significatif, les fournisseurs publient un état fiable, les validateurs échouent en toute sécurité, les opérateurs documentent le traitement et les réseaux affectés peuvent obtenir une correction rapide.
Le scepticisme devrait améliorer le système plutôt qu'aplatir la distinction entre protection et pouvoir. Une fausse affirmation selon laquelle RPKI élimine le détournement serait promotionnelle. Une fausse affirmation selon laquelle toute hiérarchie de certificats est inacceptable serait tout aussi inutile. La tâche empirique est de mesurer ensemble la propagation empêchée, la classification erronée, le temps de correction et la distribution des pertes.
Invalide est une classification, pas un verdict sur la conduite
Une route Invalide est une route dont le préfixe et l'origine observés ne correspondent pas aux autorisations validées pertinentes. L'état est suffisamment fort pour soutenir une politique de routage. Ce n'est pas une explication complète de la raison de l'inadéquation.
L'autorisation peut nommer la mauvaise origine après une migration réseau. Sa longueur maximale peut ne pas permettre une annonce légitime plus spécifique. Un client peut activer un fournisseur de mitigation DDoS qui origine temporairement le préfixe. Un bloc loué peut être annoncé par une partie non reflétée dans la ROA actuelle du détenteur. Les groupes d'entreprises peuvent utiliser plusieurs systèmes autonomes tandis que leurs enregistrements d'organisation publique accusent un retard. Un transfert peut modifier la portée des ressources plus rapidement que toute autorisation dépendante n'est mise à jour.
Certains cas peuvent effectivement être des détournements. L'état seul ne les distingue pas.
Une étude NDSS 2026 utilisant RouteViews, RIPE RIS et une collecte RPKI quotidienne a examiné la période de janvier 2023 à juillet 2024. Elle a rapporté que la part des préfixes annoncés couverts par des ROA est passée de 43,6 % à 52,8 % sur l'intervalle d'étude. Le nombre observé de préfixes Invalides a diminué de 7 989 à 6 802, représentant environ 0,7 % à 0,6 % du total des préfixes dans ses données BGP collectées. Sur plusieurs instantanés, les chercheurs ont observé 42 654 préfixes Invalides uniques.
En reproduisant les méthodes de classification antérieures, ils ont attribué 35 445 préfixes, soit 83,1 %, à des catégories potentielles de mauvaise configuration avant d'examiner des cas supplémentaires.
Ces chiffres doivent être lus avec leurs limites. La visibilité des collecteurs est échantillonnée. La cartographie des organisations et l'inférence des relations sont imparfaites. Une catégorie cohérente avec une mauvaise configuration ne prouve pas que chaque annonce était inoffensive. L'étude démontre néanmoins pourquoi l'adoption et l'erreur doivent être mesurées ensemble. La couverture a augmenté rapidement, mais les annonces Invalides n'ont pas disparu. L'ensemble restant comprenait à la fois des arrangements opérationnels ordinaires et des risques non résolus.
La même étude a trouvé une déconnexion mesurable parmi les Invalides liés à la location: 4,5 % pour les préfixes en location directe et 5,7 % pour les préfixes loués par courtier dans sa méthode. Cela n'établit pas un taux de panne universel. Cela montre que la classification peut devenir un préjudice commercial, en particulier lorsque le détenteur de ressources, le locataire, l'origine et l'enregistrement du registre sont séparés. Une politique d'adoption sérieuse traite ces relations comme un problème d'assurance, pas comme un bruit statistique.
Janvier 2021 a été une leçon compacte d'amplification
Le 7 janvier 2021, le RIPE NCC a publié un état de certificat RPKI incohérent lors d'un transfert de ressources interrégional sortant. Son analyse post-mortem a expliqué que le certificat parent de production avait été mis à jour avant le certificat enfant membre correspondant. Pendant une période, l'enfant revendiquait des ressources qui n'étaient plus présentes sur le parent.
L'événement initiateur était étroit: un transfert et un problème d'ordonnancement entre les processus de mise à jour des certificats. L'amplification est venue de l'architecture et de la diversité d'implémentation. Certains logiciels de déposant plus anciens ont appliqué une interprétation stricte qui rejetait tous les certificats listés dans un manifeste lorsqu'une entrée était invalide. RIPE NCC a rapporté que ces validateurs ont rejeté tous les certificats RPKI couvrant les ressources RIPE pendant la période incohérente et a estimé à partir des journaux d'accès que 327 instances de déposants étaient affectées.
Plusieurs faits sont importants. L'incohérence a duré un temps limité. Tous les déposants ne se sont pas comportés de la même manière. Tous les opérateurs n'ont pas nécessairement rejeté les routes sur la base de la sortie affectée. L'analyse post-mortem n'a pas revendiqué un nombre de pannes global complet. Elle a cependant identifié des pannes possibles et une chaîne causale allant d'un transfert à l'incohérence parent-enfant, au rejet par le validateur et aux conséquences potentielles de routage.
Les actions correctives ont été tout aussi instructives. RIPE NCC a proposé de vérifier les certificats des membres chaque fois que son certificat changeait, de forcer la réémission pour les sur-réclamations, de réduire la période d'incohérence et de poursuivre la publication atomique. Il a recommandé des versions actuelles de déposants. Ce sont des réponses techniques, mais ce sont aussi des contrôles de gouvernance car chacun limite la distance que l'erreur institutionnelle peut parcourir.
L'épisode ne doit pas être utilisé comme preuve que la certification centralisée échoue toujours. C'est la preuve qu'un événement de registre ordinaire peut interagir avec la hiérarchie des certificats et l'interprétation du validateur de manière que les statistiques d'adoption simples manquent. Une métrique d'achèvement de transfert pourrait compter l'événement comme réussi. Un graphique de couverture ROA bougerait à peine. Pourtant, l'ordre dans lequel l'autorité a changé importait aux déposants lointains.
Chaque rapport d'adoption devrait donc inclure des preuves d'incident: la portée du certificat affecté, les déposants visibles, les changements de charge utile validée, les routes observées, la politique de l'opérateur lorsque disponible, le temps de correction et l'incertitude résiduelle. Sans cet enregistrement, l'institution célèbre le dénominateur tandis que les étrangers portent la queue inexpliquée.
Le risque institutionnel voyage à travers des actes contrôlés distincts
La responsabilité devient confuse lorsque le RPKI est décrit comme un service unique. C'est une chaîne d'actes contrôlés effectués par différentes parties.
Le détenteur de ressources décide quelles origines et longueurs de préfixe autoriser, à moins qu'il n'ait délégué cette décision à un fournisseur. Une autorité de certification émet et met à jour les certificats qui représentent la portée des ressources. Un service de publication rend les certificats, les informations de révocation, les manifestes et les objets signés disponibles. Le logiciel du déposant récupère et valide ce matériel en fonction des normes et des choix d'implémentation. Un cache fournit des charges utiles validées aux routeurs.
L'opérateur réseau décide comment l'état de validation affecte les routes reçues des clients, des pairs ou du transit. BGP propage ensuite les conséquences à travers des réseaux contrôlés indépendamment.
Chaque acte a un mode d'erreur différent. Un détenteur peut autoriser trop largement, trop étroitement ou trop tard. Une autorité de certification peut révoquer, refuser, mal délimiter ou mal séquencer les changements. Un référentiel peut être inaccessible, obsolète ou incohérent. Un validateur peut rejeter trop, conserver les données trop longtemps, les expirer trop rapidement ou diverger d'une autre implémentation. Un routeur peut appliquer la mauvaise politique à la mauvaise session. Un opérateur peut appliquer sans chemin d'exception testé ou ne pas appliquer là où la protection était promise.
La chaîne est hiérarchique en autorité mais distribuée en action. Cette distinction empêche deux erreurs opposées. La première est de prétendre qu'un registre a directement désactivé une route simplement parce que son action de certificat a contribué à l'état Invalide. La seconde est d'exonérer le registre parce que les opérateurs autonomes ont pris les décisions finales de routage. La causalité peut être partagée sans devenir illimitée.
La gouvernance devrait attacher les preuves et les recours au verbe contrôlé. Qui a changé la portée des ressources? Qui a signé? Qui a publié? Qui a validé? Qui a transmis la charge utile? Qui a changé le traitement de la route? Que chaque partie pouvait-elle observer à ce moment? Quelle correction chaque partie pouvait-elle effectuer? Cela produit un récit défendable de la responsabilité sans prétendre qu'une organisation contrôle l'ensemble de l'Internet.
Cela aide également pour l'indemnisation. Un détenteur qui a omis une origine légitime ne devrait pas transférer chaque perte à un fournisseur de certification qui a publié exactement ce que le détenteur a demandé. Un fournisseur qui a publié un état incohérent ne devrait pas se cacher derrière la politique de rejet indépendante de l'opérateur. Un opérateur qui a configuré une application fragile sans redondance ne devrait pas présenter son choix local comme un commandement inévitable de l'autorité de certification. La perte devrait suivre le contrôle, la prévisibilité et la capacité de prévenir ou limiter le préjudice.
L'autorité concentrée est la plus dangereuse lorsque la sortie est cérémonielle
Un détenteur de ressources peut sembler contrôler ses ROA parce qu'un portail en ligne lui permet de les créer et de les supprimer. La distribution pratique de l'autorité peut être différente. Si le registre exploite l'autorité de certification, détient la clé privée, contrôle l'accès au compte, fournit le seul point de publication accepté et peut suspendre le service dans des conditions larges, le contrôle du détenteur est conditionnel. Il peut demander une action mais peut ne pas être en mesure de continuer à signer ou publier après un litige.
Le service hébergé est précieux. Les petits réseaux ne devraient pas être obligés d'exploiter des systèmes cryptographiques sensibles sans support. Le problème institutionnel survient lorsque la commodité devient une dépendance non transférable. Si un détenteur ne peut pas passer de la certification hébergée à la certification déléguée, changer de fournisseur de publication, exporter l'historique nécessaire ou maintenir la continuité pendant un litige de service, l'adoption a augmenté le levier pratique du fournisseur.
La certification déléguée peut réduire cette concentration en permettant au détenteur, ou à un spécialiste choisi, de contrôler les clés de signature subordonnées. Elle n'élimine pas l'autorité parente. Un parent peut toujours modifier ou révoquer le certificat sous lequel le subordonné opère. La délégation ne résout pas non plus la fiabilité de la publication, la perte de clé ou la capacité du personnel. Elle modifie l'équilibre ordinaire: le détenteur contrôle la signature de routine et peut séparer le support opérationnel de la garde permanente de son autorité.
La portabilité devrait inclure plus que la possession du matériel clé. Le détenteur a besoin d'un enregistrement compréhensible des certificats, des objets signés, des références de publication, des changements actuels et futurs, des preuves d'audit et des dépendances. Un déménagement doit éviter des états valides concurrents ou une lacune dans la publication. Les fournisseurs sortant et entrant ont besoin d'un basculement limité avec une observation indépendante. Le parent ne doit pas utiliser la migration pour imposer des conditions commerciales non liées.
La sortie est donc un contrôle de risque. Un fournisseur qui sait que les détenteurs peuvent partir a des incitations plus fortes à maintenir la qualité du service, à expliquer les actions défavorables et à tarifer le support séparément de l'autorité. Un détenteur qui peut partir a un recours crédible avant qu'un litige n'atteigne le contentieux. À mesure que l'application du RPKI se développe, la sortie cérémonielle devient moins acceptable car la conséquence d'un départ raté n'est plus un inconvénient sur un portail. Cela peut être une capacité diminuée d'autoriser l'atteignabilité mondiale.
La diversité des validateurs ne crée pas une vérité indépendante
Exploiter plusieurs validateurs est une pratique saine. Cela protège contre les pannes de processus, les problèmes locaux d'hôte, les défauts logiciels, l'isolement réseau et les comportements spécifiques à l'implémentation. Utiliser des implémentations maintenues séparément peut révéler des divergences que des instances identiques reproduiraient. Des caches géographiquement et administrativement séparés réduisent les dépendances locales communes.
Mais la diversité des validateurs a une limite. Les validateurs consomment généralement la même hiérarchie signée. Si le certificat de contrôle ou la ROA est erroné et validement signé, tous les validateurs conformes peuvent s'accorder sur la même sortie nuisible. L'accord dans ce cas démontre un calcul cohérent, pas un jugement institutionnel correct.
La distinction est importante car les organisations décrivent souvent la redondance comme si elle résolvait la concentration. Cinq validateurs sous un fait parent erroné peuvent rendre le déploiement résilient tout en rendant l'erreur partagée plus fiablement disponible. Plusieurs instances de référentiel peuvent répliquer du matériel obsolète ou incorrect. Un logiciel indépendant peut rejeter correctement la même sur-réclamation. La diversité en dessous d'une autorité commune ne diversifie pas l'autorité.
Le remède est en couches. Les opérateurs de validateurs devraient utiliser des implémentations actuelles, comparer les sorties, surveiller la fraîcheur et tester les modes de défaillance. Les fournisseurs de certification devraient utiliser une publication atomique ou ordonnée en toute sécurité, des vérifications indépendantes avant publication et des enregistrements de changements visibles de l'extérieur. Les détenteurs de ressources devraient recevoir des notifications sur les changements d'état matériels et maintenir une voie de correction vérifiée.
Les opérateurs devraient définir comment les sorties conflictuelles des validateurs affectent le routage plutôt que de laisser une première réponse non documentée décider.
L'étude de 2020 sur les déposants fournit une autre mise en garde. Des chercheurs observant trois autorités de certification ont identifié un comportement de récupération incohérent et ont constaté que près de 90 % des déposants observés ne pouvaient pas se connecter aux points de publication délégués dans certaines conditions testées. Les auteurs ont averti qu'un tel comportement pourrait provoquer une invalidation erronée et une perte d'atteignabilité.
L'incidence exacte à l'échelle de l'Internet ne peut être déduite de cette expérience, mais elle montre que la diversité d'implémentation et la topologie des référentiels peuvent introduire leurs propres faiblesses corrélées.
Les rapports d'adoption devraient donc distinguer le nombre d'instances de la diversité d'autorité, de la diversité logicielle, de la diversité des chemins réseau et de l'indépendance administrative. Un nombre élevé d'instances peut encore représenter un service géré, une famille logicielle ou une décision de confiance. Les affirmations de résilience ne sont crédibles que lorsqu'elles identifient la classe de défaillance que chaque duplicata peut survivre.
L'autonomie de l'opérateur est réelle, mais la convergence peut quand même créer un préjudice commun
Les normes séparent l'état de validation de l'action de routage. Un routeur peut marquer une route comme Valide, Invalide ou Introuvable et laisser la politique au réseau. Cela préserve un principe central du routage Internet: les réseaux autonomes décident quelles routes accepter et préférer en fonction de leurs circonstances techniques et commerciales.
L'autonomie n'empêche pas les résultats corrélés. Les grands opérateurs lisent les mêmes directives de sécurité, utilisent des exemples de fournisseurs similaires et font face à la même pression pour rejeter les annonces Invalides. Quelques réseaux topologiquement importants peuvent affecter de nombreux chemins en aval. Les services de sécurité gérés peuvent distribuer une politique sur de nombreux clients. Les exigences d'approvisionnement peuvent transformer un contrôle volontaire en une attente pratique du marché. La convergence peut être raisonnable, mais elle augmente le coût d'une erreur partagée en amont.
La réponse n'est pas d'exiger un routage permissif. Un opérateur qui promet la validation d'origine devrait pouvoir rejeter les routes clairement non autorisées. Il devrait également savoir ce qu'il rejette et comment il réagira lorsque des preuves crédibles indiquent une erreur. La politique devrait être explicite par classe de pair et famille d'adresses. Les changements dans l'état du validateur ne devraient pas déclencher un comportement destructeur du routeur. Plusieurs caches, alarmes de fraîcheur et réévaluation sûre réduisent l'instabilité évitable.
Les mécanismes d'exception nécessitent de la prudence. Une assertion locale peut préserver l'atteignabilité pendant une action défavorable du certificat ou une erreur documentée, mais elle ne modifie que la vue locale. Si elle est utilisée avec désinvolture, les exceptions peuvent cacher une mauvaise hygiène d'autorisation et affaiblir la protection. Si elles sont indisponibles, un réseau peut devoir choisir entre suivre un état Invalide suspect et restaurer un client important via un filtre improvisé.
Une exception contrôlée devrait nommer le préfixe et l'origine affectés, la justification, la personne approbatrice, le début, la date d'expiration et la condition de révision.
Les opérateurs devraient publier des descriptions agrégées de l'application sans révéler la topologie sensible. Ils peuvent indiquer si les Invalides sont rejetés des clients, des pairs et du transit; si IPv4 et IPv6 diffèrent; combien de vues de validateur sont requises; ce qui se passe pendant des données obsolètes; et comment un réseau affecté peut soumettre des preuves. La transparence rend l'adoption mesurable et donne aux détenteurs une voie de correction réaliste.
La décision finale de routage reste locale. Ainsi que la responsabilité d'une politique fragile. Le transfert de risque institutionnel ne devrait pas convertir une recommandation de sécurité valide en immunité pour les opérateurs qui ont ignoré les contrôles de résilience disponibles.
Les transferts, la location et la mitigation exposent les jointures
Les exemples de propriété statique font paraître le RPKI plus simple que les réseaux en exploitation. Le risque apparaît aux transitions et aux rôles divisés.
Un transfert IPv4 modifie l'autorité de ressources reconnue. Le vendeur peut avoir des ROA existantes, des certificats délégués, des références de référentiel et des routes clients. L'acheteur peut prévoir une origine différente, annoncer via un fournisseur de transit ou diviser le bloc. Si la reconnaissance du registre change avant que l'ancienne autorisation ne soit retirée ou avant que la nouvelle ne puisse être publiée, la transaction peut créer un état Invalide ou une période sans autorisation utile. L'incident de janvier 2021 a montré que même le séquençage des ressources parent-enfant peut au-delà des deux parties.
La location sépare le détenteur enregistré de l'opérateur d'origine. Le bailleur peut contrôler le RPKI tandis que le locataire dépend d'une autorisation opportune. Un courtier peut coordonner les conditions commerciales mais manquer d'autorité de certification. Un fournisseur de transit ou d'hébergement peut annoncer pour le compte du locataire. Lorsque l'arrangement prend fin, l'autorisation doit être retirée au bon moment. Trop tôt provoque une déconnexion; trop tard laisse l'autorité au-delà de la relation commerciale.
La mitigation DDoS crée une autre relation d'origine temporaire. Pendant une attaque, un spécialiste peut originer des routes plus spécifiques et renvoyer le trafic filtré via un tunnel. Si l'autorisation est absente ou que la longueur maximale est trop étroite, l'action protectrice peut être classée comme Invalide précisément lorsque le client est sous stress. Une pré-autorisation trop large peut étendre l'autorité d'un fournisseur qui n'est utilisé qu'occasionnellement. La conception correcte aligne la portée, la preuve d'activation et la révocation.
Les fusions, l'externalisation du réseau et les restructurations d'entreprises produisent des jointures similaires. L'entité légale, le détenteur de ressources, le réseau opérant et le nom public peuvent changer à des dates différentes. RPKI ne décide pas de la transaction commerciale, mais son état peut rendre une transition incomplète visible à travers les conséquences de routage.
Ces cas expliquent pourquoi la qualité de l'adoption ne peut être évaluée seulement en demandant si une ROA existe. La meilleure mesure est de savoir si l'autorisation suit précisément la relation opérationnelle à travers les changements. Les enregistrements de transfert, les changements de certificats, le BGP observé et les intervalles de correction devraient être étudiés ensemble. Un environnement à haute couverture qui gère mal les transitions peut être plus sûr les jours ordinaires et plus fragile aux moments où l'autorité compte le plus.
La surveillance externe doit être indépendante de l'autorité mesurée
Un fournisseur de certification a besoin d'alarmes internes, mais l'assurance interne ne peut être la seule preuve de correction. L'organisation qui signe ou publie l'état a des incitations à détecter rapidement les erreurs, mais elle contrôle également les enregistrements utilisés pour expliquer sa performance. L'observation indépendante offre un point de vue différent.
Le NIST RPKI Monitor démontre le type de preuve disponible. Il compare les ROA avec les données BGP de RouteViews à intervalles de six heures et permet l'analyse par date, famille d'adresses et région de registre. Il distingue les causes Invalides telles que l'inadéquation d'origine et l'inadéquation de longueur maximale, liste les paires préfixe-origine, examine les routes de couverture et enregistre les changements d'état de validation sur des intervalles sélectionnés. Sa méthode n'observe pas tous les chemins ni toutes les politiques d'opérateur.
Elle crée un rapport externe reproductible de ce que les données de routage global sélectionnées et l'autorisation signée ont montré.
RIPE RIS et RouteViews ajoutent des observations BGP archivées de pairs et de collecteurs entités. Les validateurs indépendants peuvent préserver des instantanés d'état signé et des journaux. Les services de visibilité et les tests d'atteignabilité des opérateurs peuvent montrer si une route affectée restait visible depuis des emplacements sélectionnés. Les rapports d'incident peuvent croiser ces horloges.
La conception de la surveillance devrait empêcher un fournisseur de noter son propre travail. Un enregistrement public devrait identifier les changements de certificats et d'autorisations, la fraîcheur du référentiel, les désaccords entre validateurs, les changements d'état de route visibles, l'impact d'atteignabilité signalé et les jalons de correction. Les preuves sensibles du compte peuvent rester protégées. Le résultat externe a besoin de suffisamment de détails pour qu'un autre examinateur qualifié puisse reproduire la chronologie.
Les limites de mesure doivent être explicites. Une route absente d'un collecteur peut être visible ailleurs. Une route Valide peut encore être détournée via une attaque de chemin ou subir une défaillance ordinaire. Une route Invalide peut rester atteignable là où les opérateurs ne la rejettent pas. Les journaux d'accès montrent les récupérations, pas nécessairement l'application par le routeur. Les rapports clients peuvent révéler un préjudice mais mêler des problèmes de routage, DNS, transport et application.
Ces limites ne justifient pas l'opacité. Elles justifient plusieurs classes de preuve. L'objectif n'est pas une entrée de vérité globale magique. C'est de s'assurer que l'autorité dont le changement a pu causer un préjudice ne peut pas définir l'incident uniquement à travers son propre tableau de bord.
La vitesse de correction doit être mesurée de bout en bout
Une institution peut corriger sa base de données rapidement tandis que l'impact externe persiste. La récupération de bout en bout comporte plusieurs horloges.
La première horloge va de la création de l'erreur à la détection. Le détenteur de ressources peut remarquer une panne de route, un moniteur externe peut détecter un changement d'état, ou le fournisseur de certification peut trouver une incohérence. La seconde va de la détection à une demande de correction acceptée. L'accès au compte, la vérification d'identité et l'escalade déterminent cet intervalle. La troisième va de l'approbation à la publication corrigée. La quatrième couvre la récupération du référentiel et le rafraîchissement du validateur.
La cinquième couvre la distribution du cache au routeur, la réévaluation de la politique locale et la convergence BGP.
Ne rapporter que l'horloge contrôlée par une partie peut rendre la performance meilleure que l'expérience de l'utilisateur. Un fournisseur de certification peut dire qu'une ROA a été corrigée en quelques minutes après approbation, alors que l'approbation a pris des heures et que les validateurs ont conservé l'état précédent. Un opérateur peut dire qu'il a rapidement rétabli une exception locale alors que la plupart des autres réseaux continuaient de rejeter la route. Un détenteur peut dire qu'il a transmis des données correctes en temps utile alors que sa propre autorisation antérieure a causé l'incident.
Un service mature devrait publier des mesures en percentiles pour chaque intervalle contrôlable et une estimation externe bornée pour l'ensemble de la séquence. Les événements à fort impact méritent un rapport public horodaté. Les corrections de routine peuvent être agrégées pour protéger la confidentialité des clients. La performance de queue est plus importante qu'une simple moyenne car une longue panne peut menacer des contrats, des services d'urgence ou la solvabilité d'un petit opérateur.
Les attentes de service devraient refléter l'adoption. À mesure que l'application se généralise, un objectif de correction adapté à un service d'information optionnel devient inadéquat. L'autorité devrait maintenir une escalade 24 heures sur 24 pour les erreurs de certificat ayant un impact crédible sur l'atteignabilité. Cela ne signifie pas que chaque réclamation reçoive un changement d'autorisation immédiat. La fraude est possible et des réclamations concurrentes nécessitent une préservation.
Cela signifie que l'institution peut rapidement distinguer une correction authentique d'un détenteur d'une tentative contestée et appliquer la mesure intérimaire sûre la plus étroite.
Les exercices de récupération devraient inclure les transferts, les erreurs de longueur maximale, le verrouillage de compte, l'incohérence du référentiel, la divergence du validateur et la défaillance du fournisseur délégué. L'exercice réussit lorsque les moniteurs externes et les opérateurs sélectionnés voient l'état corrigé attendu, pas seulement lorsqu'une interface interne signale l'achèvement.
L'indemnisation transforme la responsabilité de la courtoisie en discipline
De nombreux accords d'infrastructure excluent de larges catégories de dommages indirects. Une certaine limitation est compréhensible. Les registres et les fournisseurs de sécurité ne peuvent garantir le routage mondial, et la valeur reposant sur un préfixe peut dépasser des frais de service raisonnables. Une responsabilité illimitée pourrait décourager des services utiles ou rendre l'accès prohibitif.
L'immunité pratique totale crée le problème inverse. Si un fournisseur contrôle l'émission ou la publication de certificats, peut prévoir qu'une erreur évitable peut affecter l'atteignabilité et ne supporte aucun des coûts qui en résultent, l'adoption transfère le risque aux détenteurs et à leurs clients sans transférer la discipline. Les excuses et les analyses post-mortem améliorent la connaissance mais ne restaurent pas les transactions perdues ou la capacité d'urgence.
L'indemnisation devrait être structurée, pas théâtrale. Un barème de crédit de service peut couvrir les engagements de publication ou de correction manqués. Un mécanisme de réclamation financé peut couvrir les coûts de réponse directe vérifiés pour les incidents graves causés par le fournisseur. L'assurance peut couvrir des défaillances opérationnelles définies. Une détermination indépendante est nécessaire lorsque le fournisseur conteste la causalité. Les plafonds peuvent varier selon le niveau de service et le risque contrôlé plutôt que de prétendre que chaque réseau a la même exposition.
Le demandeur devrait démontrer une chaîne causale en utilisant l'état du certificat, les enregistrements de publication, les preuves du validateur, les observations de route et la perte documentée. La norme ne devrait pas exiger que chaque réseau sur terre ait rejeté la route. Elle devrait séparer les coûts directs d'atténuation, les pénalités contractuelles, les pertes de revenus et le préjudice réputationnel spéculatif. La faute contributive compte: une autorisation de détenteur obsolète, une redondance d'opérateur faible ou un signalement tardif peut réduire la récupération sans éliminer la responsabilité du fournisseur.
Les recours non monétaires sont également importants. La correction, la clarification publique, la préservation des preuves, l'examen indépendant, la renonciation aux frais, l'assistance à la portabilité et les modifications des contrôles peuvent réduire les préjudices futurs. Les échecs répétés devraient affecter le statut d'assurance et l'éligibilité du fournisseur.
Le but n'est pas de monétiser chaque incident de routage. C'est de s'assurer que l'institution la mieux placée pour prévenir une classe d'erreur a une raison au-delà de la réputation d'investir dans la prévention. Si l'adoption augmente le rayon d'explosion de cette erreur, la capacité d'indemnisation devrait également augmenter.
Un jeu de données sur le risque d'adoption devrait joindre des faits habituellement séparés
Le test empirique le plus fort pour 2020-2027 est une étude d'événements jointe. Les sources existantes isolent souvent une couche: les nombres de ROA, les statistiques de certificats, les observations de validateurs, les routes BGP, les rapports de pannes ou les journaux de transfert. Le risque institutionnel apparaît dans les connexions entre eux.
L'unité devrait être un changement matériel d'état d'autorisation affectant une paire préfixe-origine observée. Pour chaque événement, les chercheurs devraient enregistrer l'heure, l'autorité de certification, l'autorisation avant et après, le changement de longueur maximale, le transfert de ressources ou l'événement de compte lorsque public, la fraîcheur du référentiel, les sorties du validateur de plusieurs implémentations, la visibilité BGP, les routes de couverture, les rapports d'opérateur, les actions correctives et la durée totale. Les données personnelles et commercialement sensibles peuvent être minimisées.
Les événements devraient être classés avec prudence: configuration du détenteur, action de certification, incohérence de publication, défaut de validateur, inaccessibilité du référentiel, transition de transfert, relation de location, service de mitigation, détournement suspecté, inadéquation non résolue et cause mixte. La confiance dans la classification devrait être publiée. Une route peut changer de catégorie à mesure que les preuves s'améliorent.
L'exposition à l'adoption devrait être estimée à travers plusieurs proxies: préfixes couverts, unités d'adresses, réseaux validants visibles, portée topologique des appliqueurs connus, nombre de chemins affectés et déconnexion observée. Un seul proxy est une preuve publique limitée. Le résultat devrait comparer la même classe d'erreur à travers les niveaux d'adoption et le temps.
L'analyse devrait tester à la fois les bénéfices et les coûts. À quelle fréquence le traitement Invalide a-t-il contraint une origine probablement non autorisée? À quelle fréquence un arrangement opérationnel légitime a-t-il été invalidé? Combien de temps chacun a-t-il persisté? Quelles erreurs de certificat ou de référentiel ont produit une large divergence entre validateurs? Les routes valides de couverture ont-elles préservé l'atteignabilité? La correction est-elle devenue plus rapide à mesure que les institutions acquéraient de l'expérience?
Les environnements à forte application ont-ils créé des incitations plus fortes pour des autorisations propres?
Le résultat attendu n'est pas une simple condamnation. L'adoption peut réduire le préjudice global de routage même en augmentant la gravité des rares erreurs en amont. Cela soutiendrait une adoption continue avec des garanties plus fortes. Alternativement, certaines architectures peuvent montrer une forte couverture d'autorisation mais une faible correction opérationnelle, suggérant que les progrès en tête ont dépassé la maturité institutionnelle. Seules des preuves jointes peuvent distinguer ces résultats.
Le test en 2027 devrait être prospectif et falsifiable
La dernière année de l'horizon 2020-2027 n'a pas encore fourni un enregistrement complet. Elle devrait être traitée comme une période de test avec des questions publiées, pas comme un résultat déjà connu.
Premièrement: la croissance des autorisations se poursuit-elle sans une augmentation de la charge absolue d'Invalides légitimes persistants? Le dénominateur devrait inclure les préfixes nouvellement couverts et séparer les erreurs de déploiement temporaires des conflits de longue durée. Deuxièmement: les fournisseurs de certification publient-ils des historiques d'incidents complets, y compris des événements qui ne sont pas devenus mondialement visibles? Troisièmement: les opérateurs de validateurs et de référentiels divulguent-ils la fraîcheur et les écarts d'une manière compréhensible pour les détenteurs?
Quatrièmement: les détenteurs peuvent-ils passer entre des arrangements hébergés, délégués et de publication qualifiée sans perdre la continuité? Cinquièmement: les transitions de transfert et de location montrent-elles des basculements d'autorisation mesurés? Sixièmement: un opérateur affecté peut-il atteindre une voie de correction 24 heures sur 24 et recevoir une réponse motivée? Septièmement: les grands réseaux validants sont-ils suffisamment transparents sur la politique et les exceptions pour l'analyse d'incident sans révéler la conception sensible du routage?
Huitièmement: un mécanisme d'indemnisation paie-t-il effectivement une réclamation ou fournit-il un recours matériel lorsqu'une erreur contrôlée par un fournisseur cause un préjudice vérifié? Un recours qui n'existe que dans une publicité favorable n'est pas un contrôle. Neuvièmement: les moniteurs indépendants conservent-ils suffisamment de données historiques pour contester un récit institutionnel incomplet? Dixièmement: les audits d'assurance sont-ils ciblés sur les risques de certificats et de référentiels que l'adoption a rendus conséquents?
Ces tests sont falsifiables. La portabilité peut être démontrée par des déménagements achevés et des exercices chronométrés. La surveillance externe peut être vérifiée par rapport à des instantanés stockés. La correction peut être mesurée du premier avertissement crédible à la récupération observée. L'indemnisation peut être auditée dans une agrégation anonymisée. Les Invalides persistants peuvent être mesurés par rapport aux limites de collecte déclarées.
Les objectifs d'adoption devraient être associés à ces tests. Un fournisseur qui promeut plus de ROA tout en refusant de publier les performances de correction ne rapporte que le côté bénéfice de son pouvoir. Un opérateur qui prône un rejet strict tout en n'offrant aucun contact crédible en cas d'incident transfère le risque opérationnel aux parties qu'il peut déconnecter. Un détenteur qui exige une indemnisation tout en négligeant sa propre hygiène d'autorisation demande à d'autres d'assurer un choix évitable. Le cadre s'applique à chaque action contrôlée.
La Number Resource Society peut faire du transfert de risque un marché explicite pour les membres
La Number Resource Society (NRS) a un rôle constructif si elle évite de traiter le RPKI comme un instrument de marque ou comme une raison d'acquérir un pouvoir illimité sur les certificats. Sa contribution devrait être un marché clair: les membres soutiennent la sécurité de l'origine des routes, et l'institution limite l'autorité que cette sécurité exige.
La première protection est le choix. Les membres devraient pouvoir utiliser un service hébergé pris en charge, exploiter une autorité de certification déléguée ou nommer un spécialiste qualifié, sous réserve d'exigences de sécurité interopérables. La Société ne devrait pas conserver de clés privées simplement parce que le soutien est plus facile lorsque la garde est centralisée.
La seconde est la portabilité. Les arrangements de certificats et de publication devraient avoir des procédures de transition testées, des preuves exportables et des obligations de coopération limitées dans le temps. Un membre impliqué dans un litige de facturation, de gouvernance ou de politique ne devrait pas perdre le contrôle de signature de routine à moins qu'une raison de sécurité ou légale étroite, démontrée, ne l'exige.
La troisième est l'observation indépendante. La NRS devrait financer des moniteurs non subordonnés à l'équipe de service de certificats et publier des enregistrements d'incidents avec des limites de preuve claires. Les membres et les chercheurs externes devraient pouvoir comparer l'état signé avec le routage observé sans dépendre d'un accès privilégié.
La quatrième est le recours. Les conditions devraient attribuer des devoirs entre le détenteur, le fournisseur de certification, le fournisseur de référentiel et l'opérateur. La correction d'urgence, l'examen, la préservation des preuves et l'indemnisation devraient être constitués avant une adoption large. Les fournisseurs devraient détenir une capacité financière proportionnelle aux erreurs qu'ils contrôlent.
La cinquième est l'humilité quant à la portée. La NRS ne peut forcer chaque réseau à accepter une route, garantir qu'une route Valide est sûre, ou éliminer l'autorité d'un parent RPKI. Elle peut rendre ses propres services remplaçables, ses décisions révisables et ses preuves d'incident crédibles. C'est une contribution positive significative car elle rend l'adoption moins dépendante d'une seule confiance institutionnelle.
La NRS devrait être jugée sur des exercices achevés et des cas négatifs, pas sur des déclarations. Un membre qui déplace proprement son service de certification, corrige une erreur sous pression et reçoit un recours après une faute du fournisseur démontre plus qu'un autre graphique de couverture. L'institution gagne en légitimité lorsqu'elle peut soutenir une sécurité de routage plus forte tout en acceptant les limites de son propre pouvoir.
Conclusion: l'adoption de la sécurité a besoin d'un bilan institutionnel
L'adoption du RPKI est souvent présentée comme un transfert unidirectionnel de l'incertitude à la sécurité. La représentation la plus précise a deux faces. L'autorisation correcte et le traitement raisonnable des routes réduisent la portée des origines non autorisées. La même autorité partagée peut augmenter la portée des états de certificats, de référentiels et de configuration défectueux.
Ce n'est pas un paradoxe qui invalide le déploiement. C'est la condition normale d'une infrastructure qui devient conséquente. Les réseaux électriques, les systèmes de paiement et les systèmes d'identité gagnent tous en valeur à partir de contrôles partagés tout en acquérant des modes de défaillance corrélés. La réponse est la séparation des pouvoirs, la portabilité, la mesure indépendante, la récupération testée et l'allocation crédible des pertes.
Pour le RPKI, le bilan doit préserver la précision architecturale. Les autorités de certification influencent l'autorité des ressources validées; elles n'exploitent pas chaque routeur. Les opérateurs choisissent la politique de routage; ils ne créent pas les faits de certificats amont qu'ils consomment. Les détenteurs contrôlent les autorisations à des degrés divers; ils peuvent encore dépendre de la garde hébergée et de l'accès au compte. Les validateurs calculent les états; ils ne peuvent pas corriger une erreur institutionnelle validement signée.
Les données d'adoption devraient donc être publiées en même temps que les données d'erreur et de panne. La couverture devrait être liée aux Invalides persistants, aux changements de certificats, aux événements de transfert, au comportement des validateurs, aux observations de routage et au temps de correction. L'événement RIPE NCC de 2021 et la recherche de 2023-2024 sur les routes Invalides montrent que des défauts étroits peuvent être amplifiés et que la plupart des Invalides observés nécessitent plus d'explication qu'une étiquette de détournement.
L'orientation politique est positive mais conditionnelle. Continuer à augmenter une couverture ROA précise. Continuer à fournir une validation diversifiée et un traitement de route proportionné. En même temps, donner aux détenteurs un choix significatif de certificats, exiger une publication sécurisée, observer de l'extérieur, pratiquer la correction et indemniser les préjudices vérifiés en fonction du contrôle.
À la fin de l'horizon d'étude 2020-2027, le succès devrait signifier plus qu'un pourcentage d'adoption plus élevé. Il devrait signifier qu'une annonce d'origine non autorisée malveillante ou accidentelle est moins susceptible de se propager, tandis qu'une erreur institutionnelle en amont est moins susceptible de devenir une pénalité mondiale incontestable. La sécurité s'améliore lorsque l'autorité devient efficace. La légitimité s'améliore lorsque l'autorité efficace peut être observée, contestée, déplacée et contrainte de supporter les coûts de ses propres erreurs évitables.
Sources et portée
- RIPE NCC Annual Report 2025– Chiffres 2024-2025 pour la couverture ROA IPv4 et IPv6, ROA validés et certificats RPKI dans le contexte de service RIPE NCC, et priorités de résilience institutionnelle.
- Méthodologie du NIST RPKI Monitor– Comparaison RouteViews toutes les six heures, classification Invalide, analyse des routes de couverture et changements historiques de l'état de validation.
- RIPE NCC, analyse post-mortem de la panne RPKI, 8 janvier 2021– Incohérence de publication parent-enfant lors d'un transfert sortant, estimation des déposants affectés et actions correctives.
- RFC 6811, Validation de l'origine des préfixes BGP– États Valide, Invalide et Introuvable pour la validation d'origine.
- RFC 7115, Fonctionnement de la validation d'origine basée sur RPKI– Considérations sur la politique de l'opérateur et distinction entre information de validation et action de routage.
- RFC 8210, Protocole RPKI vers routeur– Sessions de cache validé, numéros de série, rafraîchissement, nouvelle tentative et comportement d'expiration.
- RFC 8211, Actions défavorables d'une autorité de certification ou d'un gestionnaire de référentiel– Analyse limitée des actions nuisibles de l'autorité et du référentiel.
- RFC 8416, Gestion simplifiée locale des ressources numériques Internet avec RPKI– Filtres et assertions locaux pouvant traiter certains états défavorables ou exceptionnels sans modifier l'autorité signée mondiale.
- RFC 9324, Protection contre les fuites de routes basée sur des politiques– Preuve que le comportement de réévaluation des routes peut lui-même provoquer une charge destructive et une instabilité opérationnelle.
- Kristoff et al., On Measuring RPKI Relying Parties– Mesure des déposants en 2020, comportement de récupération des référentiels et limites des affirmations de résilience au niveau des instances.
- Zhang et al., Demystifying RPKI-Invalid Prefixes: Hidden Causes and Security Risks– Couverture ROA 2023-2024, observations persistantes d'Invalides, classification des causes et déconnexion mesurée liée à la location.
- Documentation RIPE RISetDocumentation de l'API RouteViews– Observation BGP échantillonnée indépendante, adaptée à des chronologies d'incident limitées.
Les résultats numériques de cet article conservent le dénominateur, la période d'observation et les limites de visibilité de leurs sources citées. Les collecteurs de routes n'observent pas tous les chemins, les validateurs visibles ne représentent pas tous les réseaux appliquant, et un état de validation ne prouve ni la revendication légale ni l'intention malveillante. Les recommandations concernant la portabilité, l'indemnisation, les données d'incident jointes et les droits de protection des membres de la NRS sont des propositions institutionnelles prospectives pour évaluation d'ici 2027.

