Une opération BGP massive ciblant Orange France (2024-2026) n'était qu'un épisode d'une infrastructure criminelle plus vaste. Découverte du vol de l'AS398290 (Parlement canadien), actif depuis novembre 2023, annonçant frauduleusement 167.32.0.0/16 avec une visibilité mondiale totale. G-Core Labs (client GCL-CUSTOMER-UZ à Tachkent) sert d'ancrage physique. La menace est toujours active et structurée.
Confirmation publique par Doug Madory, Director of Internet Analysis chez Kentik — co-auteur de la revue technique du rapport v3.0 — de la réponse d'Orange France et du retrait de la route frauduleuse.
UPDATE:
AS3215 (@orange) began announcing 90.99.0.0/16 and 90.98.0.0/16 at 15:01 UTC on Apr-20, which gave Orange control of the IP space from hijacker.
Bogus route (90.98.0.0/15) was withdrawn at 17:27 UTC on Apr-21.
🔴 BGP Hijack Orange France.
90.98.0.0/15 retiré du DFZ mondial
Dernière annonce AS41128 : 2026-04-21 16:00 UTC
⚠️ ALTDB toujours actif — réinjection possible
@DougMadory @spamhaus @RIPE_NCC
#BGP #ThreatIntel
Capture du 21–22 avril 2026 sur Kentik BGP Route Viewer (Synthetics), montrant la chute de visibilité du préfixe 90.98.0.0/15 à 17:27 UTC.
20 avril 2026 — 15:01 UTC : AS3215 Orange France annonce 90.99.0.0/16 et 90.98.0.0/16 — deux /16 plus spécifiques que le /15 frauduleux → Orange reprend le contrôle par préférence BGP (most specific).
21 avril 2026 — 17:27 UTC : La route 90.98.0.0/15 via AS41128 est retirée du DFZ mondial. La visibilité tombe de 90,9% à ~5% en moins d'une minute.
90.98.0.0/1592.183.128.0/18167.32.0.0/16
198.193.0.0/16, 167.31.0.0/16, 167.32.0.0/16 à MCI/SAE (Richardson, Texas).90.98.0.0/15 créés sous MAINT-SPRINT dans ALTDB — 4 ans avant le rapport v1. Infrastructure de pré-positionnement à très long terme.90.99.200.241 (espace Orange).167.32.0.0/16 via l'AS volé du Parlement canadien. Visibilité : 331/331 peers (100%). Durée : plus de 18 mois.AS199524 G-Core disparaît. Reconstruction autour de AS29802 Hivelocity Dallas, TX.90.99.0.0/16 et 90.98.0.0/16 — deux /16 plus spécifiques que le /15 frauduleux. Préférence BGP (most specific) donne le contrôle à Orange.AS398290 (House of Commons, Canada) volé et utilisé pour annoncer 167.32.0.0/16 (pool MCI/SAE) avec une visibilité de 331/331 peers depuis novembre 2023. Corrélation avec les routes Spamhaus et le pool MCI/SAE. Infrastructure criminelle massive confirmée.Investigation réseau passive depuis Toulouse, France — AS39405 Eurofiber France SAS · IP publique : 141.0.204.194 · Outils : MTR, dig, whois, curl, openssl, API RIPE.
IP publique : 141.0.204.194
FAI : AS39405 Eurofiber France SAS — Toulouse, FR
Cible : 90.98.1.1 (IP dans le préfixe ciblé)
Résultat MTR :
1. 192.168.x.x — Gateway LAN
2. 141.0.204.1 — Eurofiber PoP Toulouse
3. 195.66.224.x — Eurofiber backbone
4. 193.251.128.x — Orange France AS3215 (backbone)
5. 193.251.129.x — Orange AS3215
6. 193.251.252.x — Orange AS3215 core
7. 193.251.254.x — Orange AS3215
8. 90.98.1.1 — DROP silencieux (ICMP timeout)
* Hop 10 — paquet droppé
→ Trafic arrive dans backbone Orange AS3215 (193.251.x.x)
→ Droppé silencieusement — IP 90.98.1.1 non assignée
→ Comportement normal d'une IP inutilisée dans un /15 OrangeDepuis Toulouse via AS39405 Eurofiber, la route légitime Orange est préférée. Le trafic pénètre dans le backbone AS3215 et est droppé sur une IP non assignée. Le hijack n'est pas visible depuis ce point d'observation. Confirmation que la réponse Orange du 20 avril est effective en Europe.
curl "https://rpki-validator.ripe.net/api/v1/validity/AS41128/90.98.0.0/15"
{
"validated_route": {
"route": {
"origin_asn": "AS41128",
"prefix": "90.98.0.0/15"
},
"validity": {
"state": "unknown",
"description": "No VRP Covers the Route Prefix"
}
},
"validating_roas": [],
"status": "unknown",
"validator": "routinator"
}
→ Résultat : UNKNOWN — Aucun ROA Orange France pour ce préfixe
→ Même résultat pour AS3215/90.98.0.0/15 (le légitime)
→ La vulnérabilité structurelle est INTACTEOrange France n'a toujours créé aucun ROA RPKI pour 90.98.0.0/15 ni 92.183.128.0/18. Le hijack a été suspendu par retrait volontaire de l'attaquant — pas par filtrage RPKI. Tant qu'aucun ROA n'existe, la réinjection est possible immédiatement dès qu'AS41128 réannonce le préfixe.
| Élément | Constat | Signification |
|---|---|---|
90.98.0.0/15 dans le DFZ | Non visible | Hijack suspendu — route retirée |
| AS upstream de AS41128 | AS22541 MegaLink Bolivie | Lien opérationnel confirmé live |
| AS22541 upstream | AS29802 Hivelocity + AS174 Cogent | Transit actuel confirmé |
| AS41128 dans peers AS22541 | Lien actif | Réinjection possible à tout moment |
| IRR ALTDB AS270118 + AS41128 | Toujours présents | Infrastructure de réinjection intacte |
BGP.tools avait listé deux domaines actifs via FDNS (Passive DNS) dans l'espace des préfixes 90.98.0.0/15 et 92.183.128.0/18. Investigation complète effectuée le 22 avril 2026.
| Champ | Valeur |
|---|---|
| Registrar | eName Technology (Chine) |
| Registrant | Province GuiZhou, Chine |
| Créé | 9 juillet 2011 |
| Mis à jour | 20 mars 2026 — pendant la phase préparatoire (5j avant AS41128) |
| DNSSEC | Non signé |
| DNS MX / TXT | Aucun — pas de config email visible |
| IP actuelle | 182.125.89.3 |
| ASN actuel | AS4837 — China Unicom Henan Province |
| PTR | hn.kd.ny.adsl — Ligne ADSL résidentielle |
| Réponse HTTP | Aucune — serveur muet |
Domaine chinois ancien, mis à jour pendant la phase de préparation du hijack (20 mars 2026), hébergé sur une connexion ADSL résidentielle dans le Henan, serveur muet aux requêtes HTTP. Profil cohérent avec un relais SMTP, C&C ou nœud de contrôle. Suspect direct dans l'opération.
| Champ | Valeur |
|---|---|
| Registrar | Hetzner Online GmbH (Allemagne) |
| Registrant | Italie (données WHOIS privées via domain-contact.org) |
| Créé | 22 février 2024 — 3 mois avant le 1er hijack (mai 2024) |
| NS | Cloudflare (aldo.ns.cloudflare.com, dee.ns.cloudflare.com) |
| Certificat TLS | Google Trust Services WE1 · émis 22 mars 2026 |
| Façade web | HTTP 200 — Portfolio de Stefano Girard, Digital Product Builder |
| DNS actuels | Tous les sous-domaines → 90.99.200.241 (non mis à jour) |
n8n.girste.com → 90.99.200.241 (automatisation de workflows)
terminal.girste.com → 90.99.200.241 (accès shell web)
admin.girste.com → 90.99.200.241 (panneau admin)
prod1.girste.com → 90.99.200.241 (infra de production)
prod2.girste.com → 90.99.200.241
prod3.girste.com → 90.99.200.241
prod4.girste.com → 90.99.200.241
wpprod1.girste.com → 90.99.200.241 (WordPress production)
wpprod2.girste.com → 90.99.200.241
wpprod3.girste.com → 90.99.200.241
me.girste.com → 90.99.200.241
test33.girste.com → 90.99.200.241
minecraft.girste.com → 90.99.200.241
netdata.girste.com → 90.99.200.241 (monitoring Netdata)
monit.girste.com → 90.99.200.241 (monitoring processus)
... (35 sous-domaines au total · source : crt.sh)
→ TOUS les sous-domaines pointent encore sur 90.99.200.241
→ Aucune mise à jour DNS depuis la suspension du hijack (21 avr. 2026)Stefano Girard est vraisemblablement un développeur/designer qui a loué ou acheté un hébergement sur 90.99.200.241 sans savoir que l'IP appartenait à un préfixe volé. Toute son infrastructure personnelle (n8n, WordPress, terminal web, monitoring) était opérationnelle sur les IPs Orange hijackées. La suspension du hijack a coupé ses services. Il n'a pas mis à jour ses DNS, probablement parce qu'il ne comprend pas pourquoi son infrastructure ne répond plus.
Ce cas prouve que l'attaquant monétisait l'espace IP volé en le revendant comme hébergement — confirmant la dimension commerciale de l'opération au-delà du spam.
| Date | Événement | Lien avec l'opération |
|---|---|---|
| 22 févr. 2024 | girste.com créé | 3 mois avant le 1er hijack documenté (mai 2024) |
| 20 mars 2026 | 78668.com mis à jour | 5 jours avant la 1ère annonce AS41128 (25 févr. 2026) |
| 22 mars 2026 | Certificat *.girste.com émis | 22 jours avant le pic d'injection (13 avr. 2026) |
| 21 avril 2026 | Hijack suspendu à 17:27 UTC | girste.com DNS toujours sur IPs Orange — aucune mise à jour |
| 22 avril 2026 | Investigation v4.0 | 78668.com muet · girste.com HTTP 200 via Cloudflare CDN |
Chaîne complète validée par BGP.tools le 22 avril 2026. L'ensemble de la structure reste opérationnelle bien que la route frauduleuse ait été retirée du DFZ. Découverte v6.0 : AS398290 (Parlement canadien) volé et actif.
Deux mainteneurs ALTDB légitimes ont été usurpés pour créer des route objects frauduleux :
MAINT-SPRINT → route object 90.98.0.0/15 pour AS41128 — Cogent notifié (noc@cogentco.com)
HOTWIRE-MNT → route object 92.183.128.0/18 — Hotwire Communications usurpé
Ces deux route objects sont TOUJOURS actifs dans ALTDB au 22 avril 2026.
L'enquête complémentaire du 27 avril 2026 a permis d'identifier formellement l'infrastructure matérielle utilisée par les attaquants : G-Core Labs S.A. (AS199524), un fournisseur IaaS/CDN basé au Luxembourg, louant des IPs à un client final situé en Ouzbékistan.
UZ (Ouzbékistan)Tachkent41.27966, 69.30087GCL1-MNTG-Core Labs (AS199524)| Préfixe | Visibilité (peers) | Statut | Netname |
|---|---|---|---|
5.101.221.0/24 | 0 | Inactif | GCL-CUSTOMER-UZ |
5.101.222.0/24 | 329 | ACTIF | GCL-CUSTOMER-UZ |
5.101.223.0/24 | 330 | ACTIF | GCL-CUSTOMER-UZ |
5.188.132.0/24 | 330 | ACTIF | GCL-CUSTOMER-UZ |
5.188.133.0/24 | 330 | ACTIF | GCL-CUSTOMER-UZ |
5.188.134.0/24 | 328 | ACTIF | GCL-CUSTOMER-UZ |
5.188.135.0/24 | 327 | ACTIF | GCL-CUSTOMER-UZ |
92.223.44.0/24 | 329 | ACTIF | GCL-CUSTOMER-UZ |
93.174.164.0/24 | 330 | ACTIF | GCL-CUSTOMER-UZ |
Total : 8 blocs /24 (7 actifs) — environ 1792 adresses IP.
| Test | Résultat | Interprétation |
|---|---|---|
| Shodan | No information available | Aucun service exposé |
| crt.sh (certificats TLS) | Aucun résultat | Pas de serveur web ou SSL |
| Ports standards (80,443,22) | Fermés / Filtrés | Volontairement silencieux |
| Visibilité BGP | 327-330 peers | Annonces actives dans le DFZ |
Ces serveurs sont volontairement silencieux : aucun service légitime n'est exposé. Ils sont uniquement configurés pour l'injection BGP (routeurs frontaux). C'est un comportement classique d'infrastructure professionnelle de hijack.
Le 28 avril 2026, Spamhaus a signalé de nouvelles routes suspectes dans le pool MCI/SAE. L'enquête a révélé que AS398290 (House of Commons, Canada) a été volé et est utilisé pour annoncer frauduleusement 167.32.0.0/16.
398290House of Commons (Chambre des Communes)Ottawa, Ontario, Canada2020-04-14VOLÉ — ACTIFAnnonce 167.32.0.0/16 (pool MCI/SAE)| Préfixe | AS annonceur | Visibilité (peers) | Statut | Découverte |
|---|---|---|---|---|
198.193.12.0/24 | AS2702 | 0 | Suspendu | Spamhaus / v6.0 |
198.195.144.0/24 | AS2702 | 0 | Suspendu | Spamhaus / v6.0 |
198.196.199.0/24 | AS2702 | 0 | Suspendu | Spamhaus / v6.0 |
167.31.32.0/20 | AS7857 | 0 | Suspendu | Spamhaus / v6.0 |
167.32.0.0/16 | AS398290 (volé) | 331/331 | 🔴 ACTIF (100%) | Découverte v6.0 |
167.32.0.0/21 | AS398290 | 331 | ACTIF | v6.0 |
167.32.2.0/24 → 167.32.8.0/24 (7 /24) | AS398290 | 331 | ACTIF | v6.0 |
# ARIN WHOIS AS398290
ASNumber: 398290
ASName: HOC
OrgName: House of Commons
Address: 111 Wellington St, Ottawa, ON, Canada
RegDate: 2020-04-14{
"origin": "398290",
"visibility": {
"ris_peers_seeing": 331,
"total_ris_peers": 331
},
"first_seen": "2023-11-30",
"last_seen": "2026-04-29"
}L'AS du Parlement canadien est sous le contrôle d'un acteur malveillant depuis plus de 18 mois. Le préfixe 167.32.0.0/16 est détourné avec une visibilité mondiale totale (331/331 peers).
Les route objects frauduleux sont TOUJOURS présents dans ALTDB :
MAINT-SPRINT → route object 90.98.0.0/15 pour AS41128
HOTWIRE-MNT → route object 92.183.128.0/18
Tant que ces objets ne sont pas supprimés, la réinjection est possible en quelques minutes.
| Préfixe | ASN légitime | RPKI ROA | Statut |
|---|---|---|---|
90.98.0.0/15 | AS3215 Orange | NOT FOUND | UNKNOWN |
92.183.128.0/18 | AS3215 Orange | NOT FOUND | UNKNOWN |
167.32.0.0/16 | AS398290 (volé) | NOT FOUND | UNKNOWN |
Orange France n'a toujours créé AUCUN ROA RPKI pour ses préfixes. La vulnérabilité structurelle est INTACTE. L'AS volé n'a pas non plus de ROA protecteur.
| Point de contrôle | Statut | Risque |
|---|---|---|
Hijack 90.98.0.0/15 actif | Suspendu — 21 avr. 17:27 UTC | Immédiat levé |
Hijack 92.183.128.0/18 actif | Suspendu | Immédiat levé |
Hijack 167.32.0.0/16 (MCI/SAE) | 🔴 ACTIF (331/331 peers) | CRITIQUE — EN COURS |
| AS398290 (Parlement canadien) | 🔴 VOLÉ — ACTIF | CRITIQUE — GOUVERNEMENTAL |
| ROA RPKI Orange France | TOUJOURS ABSENTS | Critique — réinjection invisible |
| IRR ALTDB AS270118 + AS41128 | TOUJOURS PRÉSENTS | Critique — vecteur de réinjection actif |
| Infrastructure G-Core (Tachkent) | TOUJOURS ACTIVE (7 blocs IP) | Critique — prête à réinjecter |
| Client GCL-CUSTOMER-UZ | TOUJOURS ACTIF | Critique — point d'ancrage identifié |
| AS2702 / AS7857 / AS215828 | ACTIFS | Élevé — infrastructure de relais |
Le hijack Orange a été suspendu, mais l'infrastructure criminelle est plus vaste et toujours active :
167.32.0.0/16 avec visibilité mondiale totale depuis novembre 2023Ce n'est pas un incident isolé. C'est une infrastructure BGP malveillante structurée, professionnelle et persistante.
| # | Action | Responsable | Urgence | Statut |
|---|---|---|---|---|
| 1 | Alerter ARIN et le CERT Canada (CCCS) sur le vol de AS398290 (Parlement canadien) |
Loic / Spamhaus | IMMÉDIATE | À envoyer |
| 2 | Contacter G-Core Labs pour résilier le client GCL-CUSTOMER-UZ (Tachkent) |
Loic | IMMÉDIATE | À envoyer |
| 3 | Créer les ROA RPKI pour 90.98.0.0/15, 92.183.128.0/18 et 167.32.0.0/16 |
Orange France / ARIN | IMMÉDIATE | Non fait |
| 4 | Supprimer route objects ALTDB MAINT-SPRINT et HOTWIRE-MNT |
ALTDB (db@altdb.net) | IMMÉDIATE | Non fait |
| 5 | Partager les logs avec Spamhaus pour corréler 78668.com et le pool MCI/SAE |
Loic | Urgente | En cours |
| 6 | Surveillance automatisée des préfixes suspects (script bgp_monitor.py) | Loic | Continue | Active (v2.4) |
Note méthodologique : Rapport produit le 29 avril 2026 (v6.0). Investigation OSINT passive — uniquement des sources publiques. Aucun système n'a été sondé activement. Découverte majeure : vol de l'AS du Parlement canadien.