DNS : Nécessité de revoir les stratégies de sécurité ?

Les cyber-espions viennent de trouver des moyens encore plus furtifs d’attaquer leurs cibles via les DNS ou nom de domaine. À l’exemple de DNSpionage connu pour ses attaques de DNS dans l’Emirats Arabes Unis, l’intrusion via les malwares et virus informatiques est de plus en plus virulente.

Des innovations inquiétantes

Le monde cybernétique et informatique est menacé plus que jamais depuis la découverte des avancées technologiques en matière de piratage DNS. En effet, les groupes responsables de ces intrusions ne cessent de développer leurs outils. Les malwares nouvelle génération sont de plus en plus virulents.

Les attaques ciblées commencent donc à faire des dégâts. Il faut dire que le DNS est beaucoup plus important qu’il ne laisse paraître. En attaquant des DNS, les terroristes virtuels s’en prennent à l’ensemble du réseau internet, de son identification et même de son utilisation.

Des chercheurs de Talos affirment même que les attaques semblent plus spécifiques encore. Celles du Moyen Orient de l’année dernière prouvent qu’ils ont fortifié leurs techniques et leurs moyens. Ainsi, les malwares parviennent à s’introduire dans les communications HTTP et DNS.

Ils visent les administrations, mais aussi les offres d’emploi. Les virus semblent provenir de documents Microsoft Office contenant des macros. D’autres attaques ont permis d’établir d’autres faits. Les cybercriminels de DNSpionage utilisent une seule adresse IP pour corrompre des DNS du gouvernement et de certaines sociétés privées.

L’intelligence de ces pirates informatiques se démarque d’autant plus dans les certificats "Let's Encrypt" retrouvés dans les domaines redirigés. Ainsi, ils touchent directement la sécurité informatique mondiale selon Talos.

Vers une inquiétante découverte : l’administration à distance

Selon Cisco, DNSpionage utilise la communication http et DNS en combinaison avec le serveur de commande et le contrôle des attaquants nommé C2.

Après les macros intégrées dans les documents Microsoft Word, Talos retrouve les mêmes échantillons de macros dans un autre document Excel infecté au Liban. Ce qui est dangereux, c’est que la communication HTTP emploie des codes HTML difficiles à cerner. Les attaquants ont perfectionné leurs outils et ont ajouté de nouvelles fonctionnalités pouvant attaquer encore davantage de personnes.

Et cette fois, ce n’est pas que le Moyen Orient ni l’Afrique du Nord qui est menacé, c’est le monde entier.

Importantes raisons d’adopter des mesures de sécurisation du DNS

Internet a été victime d’une récente attaque de DNS à l’Icann (Internet Corportation for Assigned Names and Numbers). Les hackers ont redirigé des DNS vers des sites infectés de virus. Les effets ont pu être contenus, mais il faut se préparer et, idéalement, éviter toute attaque éventuelle. Il suffirait de quelques minutes pour que tout le web vacille si une nouvelle attaque de ce genre réapparaît.

Il faut ainsi changer les DNS en IP privé. Cela épargnerait les applications qui fonctionnent à 90% par l’intermédiaire de DNS. Vous pouvez alors imaginer à quel point un DNS est essentiel.

Toutes les entreprises utilisent des applications avec DNS, les sites web également ainsi que tous les particuliers. Toute connexion à internet dépend aussi des DNS, même pour les réseaux sociaux, les médias ou encore les chaînes et vidéos en ligne. Si les pirates arrivent au bout de leurs idées, tout le système informatique s’agenouillerait.

Cela peut se traduire par une lenteur excessive lors des connexions à internet, ou à des vols de données personnelles jusqu’à la divulgation de certaines informations sensibles.

Quelles solutions ?

Dans l’idéal, il faudrait renforcer la sécurité des DNS. Cela doit même être une priorité. Il faut cependant revoir le système même sur lequel repose le DNS pour ce faire.

La redirection des DNS et la contamination de caches sont dangereuses pour la sécurité des données informatiques mondiales. Mais c’est le DNS en lui-même qui permet un tel retournement de situation. Comme le DNS est accessible par tous, aucun contrôle ni surveillance n’est réalisé en parallèle. Et même s’il y en a, ils ne sont pas suffisants.

En renforçant la sécurité des DNS, il faudra revoir toute son infrastructure et son mode de fonctionnement. Il est nécessaire d’évaluer le DNS dans sa conception originelle. Il faut intégrer des protections supplémentaires contre les attaques DDoS, les réponses aux requêtes DNS ainsi que des caches.

Il serait possible, par exemple, d’ajouter des clés de sécurité, renforcer le mode et les moyens d’acquisition, créer des mesures de protection plus sûres et plus modernes, … La chose est assez difficile, certes,  mais des études sont en cours.

La place des responsables dans la création des noms de domaines doit également être mieux répartie. Le rôle de chaque instance doit pouvoir provoquer un contrôle global du système. Le but ? Équilibrer la charge supportée par les serveurs et être présent pour parer les attaques.

Bref, il faut reconsidérer le DNS dans sa globalité et prendre au sérieux les mesures de sécurité. Et on ne parle pas uniquement des DNSpionages ou du Moyen Orient, mais de la planète tout entière.