SCION : L'alternative sécurisée suisse au protocole de routage BGP

Ce que SCION fait réellement de différent
SCION aborde les failles de sécurité fondamentales du BGP grâce à trois mécanismes imbriqués. Le premier est le routage multi-chemins - là où l'Internet d'aujourd'hui offre un seul chemin entre deux points, SCION établit des dizaines, voire des centaines de chemins parallèles simultanément. Si l'un échoue, le système reroute en quelques millisecondes. Perrig est précis sur le seuil : « Le temps de réaction humaine pour un stimulus auditif est d'environ 150 millisecondes. Nous pouvons rerouter en moins que cela. »
Le deuxième mécanisme est la validation cryptographique des chemins. Chaque paquet dans un réseau SCION transporte une preuve cryptographique que son itinéraire a été autorisé par les réseaux le long du chemin. Cela empêche les détournements et les fuites de routes au niveau architectural, plutôt que par des ajouts comme RPKI ou BGPsec.
État actuel du déploiement
SCION est déjà éprouvé dans les secteurs bancaire et de la santé, mais sa diffusion a été lente ailleurs. Le système est opérationnel dans les réseaux financiers suisses depuis 2016 et gère des milliards de transactions quotidiennes. Les grandes banques suisses l'utilisent pour les transferts interbancaires, et les réseaux de santé suisses l'utilisent pour les données des patients.
Adrian Perrig, professeur d'informatique à l'ETH Zürich et architecte principal de SCION, a lancé le projet en 2009 après avoir obtenu sa titularisation. Sa frustration fondamentale était simple : les mêmes vulnérabilités étaient documentées depuis les années 1980, et personne n'avait tenté de les corriger au niveau architectural. « Les meilleures entreprises de sécurité au monde sont encore exploitées à travers elles », dit-il. « Il n'y a même pas eu de tentative pour les traiter correctement. »
Architecture technique
SCION remplace le routage basé sur la confiance du BGP par une validation cryptographique des chemins. Contrairement aux correctifs incrémentiels du BGP (RPKI, BGPsec, ROA), SCION reconçoit entièrement les fondations du routage. Kevin Curran, professeur de cybersécurité à l'Université d'Ulster qui enseigne les réseaux informatiques depuis 27 ans, offre une évaluation indépendante : « Ce que nous avons eu pendant plus de 40 ans, c'est une série de rustines. Rien n'a approché la nécessité de chemins véritablement sécurisés à travers un réseau hostile. »
Les propriétés d'isolation du système permettent aux réseaux de fonctionner indépendamment tout en participant au routage global. Cela aborde l'absence de chaîne de traçabilité cryptographique du BGP pour les parcours des paquets et son processus de reroutage lent qui peut prendre des minutes lors de défaillances réseau.
📖 Lire la source complète : HN LLM Tools
👀 See Also

Caelguard : Scanner de sécurité open source pour les compétences OpenClaw
Caelguard est un scanner sous licence MIT, exécuté localement, qui détecte les problèmes de sécurité dans les compétences OpenClaw, notamment l'injection de prompt, la collecte d'identifiants et les charges utiles obfusquées. Les recherches montrent qu'environ 20 % des compétences publiées contiennent des modèles préoccupants.

Avertissement de sécurité : Le script ClawProxy a volé des clés API, entraînant une facture OpenRouter importante.
Un développeur a installé un script ClawProxy propriétaire provenant d'un utilisateur de Reddit sur un système Ubuntu 24.04 WSL isolé, qui a volé sa clé API OpenRouter et l'a utilisée via l'API Google Vertex pour générer une facture importante sur Opus 4.6 pendant la nuit.

FakeKey : un outil de sécurité pour clés API basé sur Rust qui remplace les clés réelles par des fausses
FakeKey est un outil de sécurité basé sur Rust qui remplace les vraies clés API par des fausses dans les environnements d'application, stockant les vraies clés chiffrées dans le trousseau natif du système et ne les injectant que lors des requêtes HTTP/S.

L'application de bureau Claude d'Anthropic installe une passerelle de messagerie native non divulguée
Claude Desktop installe silencieusement une extension de navigateur préautorisée qui permet la messagerie native, soulevant des préoccupations de sécurité.