Accueil Cyberespionnage Cyber-attaque mondiale sur les noms de domaine: enquête et explications

Cyber-attaque mondiale sur les noms de domaine: enquête et explications

Ce vendredi 22 février, l ‘ICANN, l’organisme international qui attribue les adresses internet, a émis un avis d’alerte , sur la prolifération d’attaques informatiques massives contre des noms de domaine, provenant vraisemblablement de hackers iraniens. Il appelle toutes les paries prenantes (hébergeurs, revendeurs de nom de domaine etc)à déployer le protocole DNSSEC (Domain Name System Security Extensions). Explications.

Voir l’ annonce AFP

L’organisme relève la publication de nombreux rapports sur ces attaques, dont celui du Département d’Etat à la sécurité intérieure américain, et indique : « nous n’avons pas d’indication que les sytèmes de l’Icann seraient compromis, at nous travaillons avec la communauté pour enquêter sur ces attaques TLDs (Domaines de haut niveau). » En fait, l’Icann avait émis un premier avis d’alerte, qui avait été peu relayé dans les médias, une semaine plus tôt le 15 février. Il publiait une checklist  de recommandations : vérification des mots de passe, des accès administrateurs avec si possible un système d’authentification à double facteur, mais surtout s’assurer de la mise en place du protocole DNSSEC :  » Assurez vous que les registres de zone DNS sont signés DNSSEC  »

A noter que les adresses https font partie des protections du protocole DNSSEC.

Le CISA décrit le fonctionnement des attaques.

 

 

Organisme de cybersécurité du Département d’Etat (DDHS)  le CISA , équivalent américain de notre Anssi, a publié le 19 février une alerte et des recommandations . Il décrit le principe des attaques et liste les mesures de protections à prendre .

Les attaquants interceptent et redirige le trafic Web et le trafic de messagerie et pourraient le faire pour d’autres services en réseau.
-L’attaquant commence par compromettre les informations d’identification de l’utilisateur, ou en les obtenant par un autre moyen, d’un compte pouvant modifier les enregistrements DNS.
-L’attaquant modifie ensuite les enregistrements DNS, tels que les enregistrements Address (A), Mail Exchanger (MX) ou Name Server (NS), en remplaçant l’adresse légitime d’un service par une adresse contrôlée par l’attaquant. Cela leur permet de diriger le trafic des utilisateurs vers leur propre infrastructure à des fins de manipulation ou d’inspection avant de le transmettre au service légitime, s’ils le souhaitent. Cela crée un risque persistant au-delà de la période de redirection du trafic.
-L’attaquant pouvant définir des valeurs d’enregistrement DNS, il peut également obtenir des certificats de chiffrement valides pour les noms de domaine d’une entreprise. Cela permet de déchiffrer le trafic redirigé, exposant ainsi toutes les données soumises par l’utilisateur. Comme le certificat est valide pour le domaine, les utilisateurs finaux ne reçoivent aucun avertissement d’erreur.

(source : site Cyber DHS.gov)

Le « DNSpionnage »

La division Research de Cisco publiait le 27 novembre son rapport  Cisco’s Talos sur des campagnes d’espionnage sophistiquées que le constructeur nommait “DNSpionage.”

DNSSEC, le protocole de sécurité des DNS.

En quoi consiste ce protocole ? Selon l’Afnic, qui est l’office d’enregistrement délégué par l’Etat pour la gestion des noms de domaine en .fr : DNSSEC permet à un utilisateur de vérifier, sur la base d’une chaîne de confiance cryptographique, que les informations résultant d’une requête de résolution DNS proviennent de la zone DNS légitime correspondant au nom de domaine demandé. En d’autres termes, lorsqu’elles sont utilisées de bout-en-bout dans le processus de résolution DNS, les extensions DNSSEC empêchent que les données ne soient altérées lorsqu’elles redescendent jusqu’à l’utilisateur demandeur (Source : Afnic).

L’Afnic rappelle que outre DNSSEC, il existe aussi le verrou de registre, dit FR-Lock. L’Afnic propose de verrouiller le nom de domaine au niveau du registre, érigeant une barrière de sécurité supplémentaire en ajoutant des étapes nécessaires de validation (intervention humaine) au moment de faire des changements. (Le FR-Lock est d’ailleurs recommandé par l’ANSSI).
Ces deux outils existent, sont éprouvés et recommandés par plusieurs instances techniques et régulatrices. Ils sont à la disposition des titulaires de noms de domaines comme des bureaux d’enregistrement. indique l’Afnic. Son directeur général Pierre Bonis prévient : « On peut s’attendre à d’autres attaques de ce genre et la prévention reste la meilleure solution, l’Afnic invite l’ensemble des acteurs du DNS à déployer DNSSEC et les solutions de verrou de registre. »

Jean Kaminsky