Le DNS (Domain Name System), sans lequel le web ne serait qu’une masse informe de numéros de réseau sans noms de serveurs conviviaux tels que example.net
ou sophos.com
, est la cible de cyberattaques et l’ICANN, l’autorité de régulation de l’Internet, demande aux entreprises du web de prendre à bras-le-corps ce problème.
C’est ce que disait le communiqué de presse de l’ICANN de la semaine dernière (Société pour l’attribution des noms de domaine et des numéros sur Internet).
Ce message fait suite à des avertissements tout aussi alarmants émanant du Département américain de la Sécurité Intérieure (DHS), inquiet suite à la récente série d’attaques DNS. Les attaques tentent de s’emparer des domaines de messagerie et du web, en détournant le trafic vers des serveurs malveillants.
Selon l’ICANN, la solution est, pour les entreprises fournissant une infrastructure DNS, de mettre en œuvre dès que possible une couche de sécurité DNS appelée DNSSEC (extensions de sécurité du système de nom de domaine) :
L’ICANN demande le déploiement complet du DNSSEC sur tous les noms de domaine non sécurisés.
Près de 20 ans après que DNSSEC ait été proposé pour la première fois, ce protocole est déployé beaucoup trop lentement et trop d’entreprises Internet ont choisi de l’ignorer.
Selon le registre de l’APNIC, environ 20% seulement des résolveurs DNS dans le monde semblent apparemment l’utiliser.
Mais, à présent, il semble y avoir une certaine urgence.
En novembre, Cisco Talos a évoqué une cyber-campagne à grande échelle ciblant le Liban et les Émirats Arabes Unis, au centre de laquelle se trouvait un trafic relatif à une campagne de piratage DNS suffisamment sophistiquée, non seulement pour rediriger le trafic, mais aussi pour compromettre les certificats SSL et les tunnels VPN.
Depuis lors, des campagnes similaires ont été documentées par d’autres, montrant ainsi que l’infrastructure DNS de dizaines d’entreprises a été compromise, dans au moins 11 pays, dont la Suède et les États-Unis.
À l’aide du DNSSEC, les recherches de noms et les mises à jour sont vérifiées par des signatures cryptographiques, rendant ainsi le protocole DNS, jusqu’alors assez simple, plus complexe et chronophage.
La complexité accrue dans la gestion de l’infrastructure à clé publique (PKI) et nécessaire au bon fonctionnement du DNSSEC, génère des coûts plus élevés dont les Fournisseurs d’Accès Internet (FAI) aimeraient pouvoir se passer, étant donné que ce système n’apportera peut-être pas plus de sécurité au départ.
D’autre part, passer à travers les longues et difficiles vérifications manuelles que l’ICANN et d’autres recommandent maintenant pour la sécurité du DNS en l’absence du DNSSEC pourrait être encore bien pire.
Quoi faire ?
Que vous utilisiez DNSSEC ou non, nous allons réitéré l’alerte de sécurité publié dans une récente directive d’urgence du Département américain de la Sécurité Intérieure (DHS) :
- Vérifiez que tous les domaines importants résolvent l’adresse IP correcte et qu’ils n’ont pas été falsifiés.
- Modifier les mots de passe de tous les comptes utilisés pour gérer les enregistrements de domaine.
- Activez l’authentification multi-facteurs pour protéger les comptes d’administrateur.
- Surveillez les logs CT (Certificate Transparency) pour les certificats TLS récemment émis qui pourraient l’avoir été par un acteur malveillant.
Billet inspiré de ICANN demands DNSSEC combats DNS hijacking, sur Sophos nakedsecurity.