Qui, quand ou comment les attaques DNS vont-elles frapper ? On l’ignore, mais on sait qu’elles peuvent paralyser une activité de quelques heures à quelques jours, qu’elles touchaient plus de 8 entreprises sur 10 en France en 2020 et qu’elles continuent de se multiplier. Un contexte qui doit inciter les responsables sécurité et les gestionnaires de noms de domaine à tenir compte de ce risque en adoptant les stratégies propres à s’en protéger. Comment ? Explications…
1. LES ATTAQUES DNS : QU’EST-CE QUE C’EST ?
Il s’agit ni plus ni moins de piratage : une « attaque serveur DNS » permet aux cybercriminels de rediriger les internautes, à leur insu, vers de faux sites Web, de bloquer un site Internet, de voler des données sensibles et des informations confidentielles et, aussi, de détourner des domaines à leur profit. En 2021, selon le 7e Global DNS Report, les secteurs des Télécommunications et médias, de la santé, de l’éducation auraient été les plus touchés. Et la même étude (portant sur des entreprises de plus de 500 salariés) estime le coût moyen d’une telle attaque à plus de 840 000 euros. Pourquoi est-ce possible ?
QU’EST-CE QU’UN DNS ?
Le système de noms de domaine, dit DNS (Domain Name System), permet de « traduire » l’adresse IP, grâce à laquelle sont identifiées toutes les machines connectées à Internet, en une adresse alphanumérique plus facile à retenir. Chaque adresse IP (Internet Protocol) étant unique, chaque nom de domaine est lui aussi unique et la correspondance de l’un à l’autre peut s’établir dans les deux sens grâce à la « résolution DNS ». Celle-ci s’effectue à l’intérieur d’un serveur dédié à cette fonction, dit serveur DNS. Le DNS est donc le premier point de contact entre les utilisateurs finaux et leurs services.Cependant, sans protection adaptée, le système DNS est vulnérable et les cybercriminels profitent de cette fragilité pour s’introduire dans la chaîne.
COMMENT S’APERCEVOIR D’UNE ATTAQUE DNS ?
L’honnêteté impose de le rappeler : la pire des attaques est celle que l’on ne détecte pas, ou seulement après que des données sensibles aient fuité ou qu’un accès privilégié à un actif ait été détourné… Cependant, reconnaître quelques signes d’une attaque potentielle permet d’en limiter les effets les plus préjudiciables.
Du point de vue de l’utilisateur, après avoir éliminé la possibilité d’une panne matérielle lorsqu’un ordinateur ne démarre pas correctement ou ne fonctionne pas comme à l’habitude : l’impossibilité d’ouvrir un fichier ou un programme de travail, des mails inaccessibles, des fichiers modifiés ou supprimés à votre insu, des mots de passe utilisés couramment signalés comme « incorrects », des fenêtres pop-up qui apparaissent ou disparaissent inopinément à l’écran, des messages signalant une infection de l’ordinateur ou la présence d’un faux virus, etc. Identifier les attaques informatiques et en réduire les risques, c’est désormais notre lot quotidien en tant qu’utilisateur et s’il n’existe pas de remède miracle pour parer une attaque, vous pouvez prendre certaines précautions. Pour en savoir plus, consultez notre article 5 mesures rapides pour réduire le risque de cyber-attaque.
Du point de vue de l’administrateur DNS, une attaque sur les DNS se manifeste souvent par : un trop grand nombre de requêtes dans un laps de temps très court (qui dépasse les normales habituelles), une chute de trafic ou l’indisponibilité des ressources utilisées, des messages d’erreurs inhabituels dans les fichiers journaux, des alertes remontées par les sondes et les outils de sécurité et de surveillance. À noter qu’en cas d’attaque DDoS, un ou plusieurs services sont indisponibles. Les exemples de cyberattaques DNS ne manquent pas. Citons notamment l’attaque de mars 2021 visant l’Assistance publique-Hôpitaux de Paris avec pour résultat de paralyser le système en inondant de demandes de connexions deux adresses Internet de ce service public. Aucune entreprise n’est à l’abri : ainsi de Microsoft en août 2021, attaque relatée par notre confrère « Le Siècle Digital », ou de SFR et Bouygues Télécom, victimes en septembre 2020 d’une cyberattaque rapportée par le magazine « 01Net ».
2. LES 3 ATTAQUES DNS LES PLUS RÉPANDUES
ATTAQUE DU DNS PAR CACHE POISONING ET SPOOFING
On parle de DNS Cache Poisoning lorsqu’un « empoisonnement du cache », appelé aussi « détournement de DNS », a perturbé votre navigation Web et vous a détourné de votre but, à savoir le site Internet que vous souhaitiez consulter. Ce cache DNS, vous l’utilisez probablement sans le savoir : il s’agit d’une sorte de répertoire qui stocke temporairement (de quelques minutes à plusieurs semaines) les adresses IP correspondant aux noms de domaine des sites que vous visitez souvent et vous permet d’y accéder plus rapidement. En profitant de cet intervalle de temps où vos requêtes sont mémorisées dans le cache, les pirates peuvent remplacer une bonne adresse IP par une fausse, celle d’un site miroir par exemple, ou tout autre site piégé sur lequel vous êtes invité à vous identifier.
L’expression DNS Spoofing (de l’anglais « to spoof » signifiant « usurper ») est une attaque dont l’objectif est de rediriger, à leur insu, des Internautes vers des sites pirates. Pour la mener à bien, le pirate utilise des faiblesses du protocole DNS (Domain Name System) et/ou de son implémentation au travers des serveurs de nom de domaine.
ATTAQUE DDOS SUR LE DNS
Comme n’importe quel système, les serveurs DNS sont susceptibles de subir des attaques par déni de service, dites DDoS (Distributed Denial of Service). Celles-ci, de plus en plus nombreuses, provoquent des pannes et empêchent ainsi des milliers d’utilisateurs de naviguer sur le Web. Selon un rapport de la société Cloudflare, elles auraient augmenté au niveau mondial de 175 % entre le 3e et le 4e trimestre 2021. Ces attaques consistent à inonder un serveur DNS de multiples requêtes de façon à le saturer et finir par en interrompre l’accès, d’où le nom de « déni de service ».
ATTAQUE PAR AMPLIFICATION DNS (DE TYPE ATTAQUES DDOS)
On parle d’amplification DNS lorsque les attaquants multiplient les requêtes en accédant à l’ensemble des serveurs d’une entreprise après avoir obtenu une première série de réponses. En clair, trop de trafic tue le trafic ! Celle qui a frappé l’Assistance publique-Hôpitaux de Paris évoquée plus haut est de ce type. À noter que pour ce type d’attaque, le pirate cache sa propre adresse IP et utilise un ordinateur légitime en modifiant l’adresse de l’expéditeur.
3. LES BONNES PRATIQUES POUR LUTTER ACTIVEMENT CONTRE LES ATTAQUES DNS
SERVEURS DNS
- Utiliser un ensemble d’au moins 3 serveurs DNS faisant autorité, séparés géographiquement (centres de données différents) et répartis sur des blocs d’adresses et des extensions distinctes (TLDs).
- Privilégier l’utilisation de DNS Anycast pour maximiser la disponibilité de vos noms de domaine à l’échelle mondiale, grâce à un réseau distribué de points de présence. Les réponses DNS seront plus rapides à travers le monde, et une panne géographique n’impactera pas le reste de vos clients. Pour vos domaines les plus sensibles, il existe des solutions multi-anycast qui reposent sur plusieurs fournisseurs distincts afin de garantir une disponibilité maximum.
- Vérifier que vos serveurs DNS sont compatibles IPv4 et IPv6, afin d’assurer qu’ils répondent systématiquement sur les deux interfaces (IPv4 / IPv6) et ainsi éviter toute perte de trafic.
- Surveiller les réponses fournies par vos serveurs de noms afin de détecter rapidement les pertes de connectivité ou les délais dans la synchronisation des zones.
ZONE DNS
- Mettre en place le DNSSEC afin de permettre la validation de l’intégrité des réponses DNS, via la chaîne de confiance, par les résolveurs. Utiliser des résolveurs DNS validant le DNSSEC dans votre infrastructure. Pour en savoir plus, consulter notre article DNSSEC : Un rempart contre la fraude ?
- Éviter la publication d’adresses IP privées dans vos zones DNS publiques. L’exposition d’adresses IP privées peut rendre votre organisation vulnérable à une collecte d’informations à des fins de cartographie de l’infrastructure privée.
- Examiner régulièrement le contenu des zones DNS, afin d’en supprimer les entrées obsolètes, et ainsi prévenir les attaques de reprise de sous-domaine (« Subdomain takeover »). Dans le cloud et les hébergements en ligne, les adresses IPs (et CNAME) sont systématiquement réattribuées après l’expiration des services. Dans ce contexte, un attaquant peut profiter d’un enregistrement pointé sur une IP qui n’est plus attribuée pour prendre le contrôle du contenu servi.
- Vérifier la configuration et la propagation de vos zones à l’aide d’outils spécialisés afin de valider les paramètres techniques de vos serveurs de noms et de votre zone (ZoneCheck).
CONSEIL D’EXPERT
La sécurité du Domain Name System ne repose pas uniquement sur les serveurs DNS. Pour assurer la sécurité de l’ensemble des activités de votre entreprise sur Internet, il convient également de contrôler plusieurs autres points névralgiques, parmi lesquels : les accès au bureau d’enregistrement, la gestion des changements, la protection des noms de domaine (Whois domain), les serveurs de messagerie email…
Pour vous aider dans cette démarche, nous mettons à votre disposition en téléchargement gratuit le dossier spécial « Checklist DNS Sécurisé EBRAND », dans lequel vous trouverez l’ensemble de nos recommandations de sécurité.
Par Raphaël TESSIER, Sophie AUDOUSSET et Vincent CISEL.
A lire également :
L’USURPATION D’IDENTITÉ, LA TECHNIQUE PRÉFÉRÉE DES PIRATES !
