Les médias ont très largement relayé le weekend dernier les méfaits d’une attaque à priori sans précédent et visant les noms de domaine.
C’est en effet dans la nuit du 22
Une vague d’attaques qui a débuté en novembre 2018
En réalité, il ne s’agit pas d’une attaque, mais d’une vague d’attaques que le système des noms de domaine subit depuis maintenant plusieurs semaines.
Dès la fin du mois de novembre 2018, une attaque visait le Liban et les Émirats Arabes Unis et avait affecté les noms de domaine en .GOV. Dans cette première attaque, les cybercriminels avaient procédé à du DNS hijacking.
Début janvier 2019, la société FireEye faisait état dans un article d’une vague de DNS hijacking affectant les noms de domaine appartenant au gouvernement et aux secteurs des télécommunications et d’Internet au Moyen-Orient, en Afrique du Nord, Europe et Amérique du Nord.
Si les pirates n’avaient pas été alors identifiés, les premières recherches laissaient à penser que ces derniers pourraient opérer depuis l’Iran.
Fait important quant à l’attaque du 22 février : elle frappait cette fois-ci, parfois avec succès, des acteurs importants de l’Internet.
Ces attaques ne sont pas nouvelles, c’est leur ampleur et les cibles visées qui ont attiré l’attention de l’ICANN et incité à réagir pour rappeler les risques pesant sur le DNS.
En quoi ces attaques consistent-elles ?
La méthode employée est celle du DNS hijacking, déployé à grande échelle. Il s’agit d’une attaque malicieuse, également appelée redirection DNS. Son but : écraser les paramètres TCP/IP d’un ordinateur afin de le diriger vers un serveur DNS pirate en lieu et place du serveur DNS officiel paramétré. Pour ce faire, le pirate prend le contrôle via différentes techniques de la machine cible pour altérer les configurations DNS.
Le gouvernement américain, entre autres, a récemment tiré la sonnette d’alarme face à ces séries d’attaques très sophistiquées dont le but serait de siphonner un important volume de mots de passe. Ces attaques cibleraient plus spécifiquement les gouvernements et les sociétés privées.
Entre DNS hijacking et cyberespionnage
Selon l’article de Talos de novembre 2018, les pirates derrière ces attaques auraient ainsi récupéré des emails et des informations de connexions (identifiants – mots de passe) en hijackant le DNS, faisant en sorte que le trafic des emails des institutions ciblées et le VPN (Virtual Private Networking) soient redirigés vers un serveur contrôlé par les cybercriminels.
Une fois les connecteurs récupérés, d’autres attaques peuvent être lancées, telles que le Man-In-The-Middle, à des fins d’espionnage.
Alors comment se protéger efficacement ?
Il faut être conscient que si ces attaques visent prioritairement le système d’avitaillement des noms de domaine, nous ne le dirons jamais assez, la première porte d’entrée d’un pirate à votre portefeuille de noms de domaine reste vos accès à la plateforme de gestion.
- Recommandation impérative : protéger ses accès aux plateformes de configuration technique des noms de domaine
Des dispositifs de sécurisation de l’accès au portail de gestion des noms de domaine (filtrage IP, ACL, HTTPS) existent et doivent être appliqués. Il conviendrait dans le meilleur des cas de mettre en place l’authentification à double facteurs et la fédération d’identité (SSO).
Si ces solutions complémentaires ne sont pas encore en place, il est vivement recommandé de les mettre en place, tout particulièrement l’authentification à double facteurs (MFA ou 2FA), pour lutter contre les vols de mots de passe. Cette recommandation permet de répondre directement au type d’attaque mentionné par l’ICANN.
Cependant, cela n’est pas suffisant en matière de protection des noms de domaine stratégiques des sociétés. D’autres mécanismes de protection contre les attaques DNS existent et méritent d’être activés.
- Protéger ses noms de domaine stratégiques avec le registry lock
La mise en place d’un registry lock sur vos noms stratégiques, souvent porteurs de services associés tels qu’emails, sites internet, etc., empêchera les modifications frauduleuses de ces derniers. Le registry lock permet de verrouiller les informations du nom de domaine aux yeux du registre et notamment d’empêcher toute modification de titulaire du nom de contact administratif et des serveurs DNS.
- Mettre en place le protocole DNSSEC
DNSSEC permet de garantir l’authenticité et l’intégrité de la résolution DNS et donc de se protéger contre deux types d’attaques visant le DNS : le DNS spoofing et le DNS cache poisonning, attaques visant à modifier la réponse envoyée par les DNS et à rediriger les internautes vers des sites frauduleux indétectables. DNSSEC devrait être adopté massivement par le marché dans les années qui viennent.
- S’appuyer sur un réseau DNS anycast
Le DNS est régulièrement l’objet d’attaques de type DDoS, dont la conséquence est d’empêcher la bonne résolution DNS. Un réseau DNS anycast s’appuie sur de nombreux points de présence pour une meilleure résilience.
Ces quatre mécanismes complémentaires font partie des préconisations de l’ANSSI sur la résilience du DNS et sont fortement recommandés. Si aucune solution parfaite n’existe aujourd’hui pour protéger à 100% les infrastructures des cyberattaques, c’est l’application de plusieurs mesures préventives combinées qui permettra de diminuer les vulnérabilités exploitées (si) facilement par les pirates.
Lucie LOOS – Nameshield