Le système de noms de domaine (DNS) a été mis en place pour faciliter l’utilisation d’Internet. Il traduit les noms de domaine en adresses IP, lesquelles sont utilisées par les périphériques réseau. Le DNS vous permet d’utiliser http://www.google.com au lieu de http://74.125.224.72/ pour lancer une recherche.
Bref, c’est le principal service d’annuaire d’Internet.
Le DNS existe depuis longtemps et tous les ordinateurs connectés à Internet en dépendent. Les pirates l’utilisent désormais à des fins de reconnaissance interne et externe, notamment pour détourner le trafic et créer des canaux de communication secrets. Heureusement, si vous surveillez vos serveurs DNS et si vous appliquez des analyses de sécurité, bon nombre d’attaques cybercriminelles peuvent être détectées et déjouées.
Qu’est-ce qu’un DNS ?
En quelques mots, le DNS est un système distribué ancré par les serveurs de noms racine. En-dessous de celui-ci se trouve des zones DNS pouvant être constituées d’un ou plusieurs domaines (google.com, par exemple, est un domaine), c’est-à-dire un ensemble de serveurs de noms faisant autorité est attribué à chaque zone DNS.
Un serveur de noms faisant autorité (Authoritative Name Server) peut être soit un serveur maître, soit un serveur esclave. Un serveur maître stocke les copies originales des enregistrements de zone tandis qu’un serveur esclave conserve les copies des enregistrements maîtres.
Un serveur de noms faisant autorfité fournit une réponse réelle à toutes vos requêtes DNS comme l’adresse IP d’un serveur de messagerie ou l’adresse IP d’un site web. Mais, même si son rôle principal est de fournir des réponses définitives aux requêtes DNS, il peut également fournir les réponses qui ont été mises en cache par un autre serveur de noms de domaine. Cela dit, il ne renvoie donc que des réponses aux questions sur les noms de domaine ayant été installées dans son système de configuration.
Comme susmentionné, il existe deux types de serveurs de noms faisant autorité :
- D’une part, il y a le serveur maître qui est également appelé serveur de noms primaires. Ce type de serveur stocke les copies originales de tous les enregistrements de zone. Il ne peut apporter aucune modification qu’aux enregistrements de zone au niveau du serveur principal.
- D’autre part, il y a le serveur esclave ou serveur de nom secondaire. Un serveur esclave est la réplique exacte du serveur maître. Il a pour rôle de partager la charge du serveur DNS et d’améliorer la disponibilité de la zone DNS au cas où il y aurait une défaillance du serveur maître. Par conséquent, il est recommandé de disposer d’au moins 2 serveurs esclaves et d’un serveur maître pour chaque nom de domaine.
À noter que chaque serveur esclave est mis à jour par le biais d’un mécanisme spécial du protocole DNS.
Les défis en matière de gestion du DNS
Il existe plusieurs failles de sécurité et défis architecturaux inhérents à la conception originale du DNS pour les serveurs de noms externes.
La gestion est complexe
La plupart des administrateurs système reconnaissent l’importance des serveurs de noms externes. Cependant, une erreur ou une mauvaise configuration occasionnelle est inévitable, notamment à cause de la complexité de la gestion de la plupart des serveurs de noms.
Presque tous les administrateurs système d’un serveur de noms « BIND » qui est la marque préférée des serveurs de noms externes ont fait une erreur. Ils introduisent souvent une erreur de syntaxe dans un fichier de données de zone. C’est un risque similaire d’erreur humaine.
Le risque similaire d’erreur humaine est aussi élevé lorsque les administrateurs système utilisent de solutions non BIND, comme celles de Microsoft. Par contre, une erreur de syntaxe dans un fichier de données de zone qui est souvent passée inaperçue rend le serveur de noms incapable de charger cette zone. Elle permettra aux pirates de récolter des données anciennes.
Pire encore, une erreur de syntaxe dans le fichier de configuration du serveur de noms peut empêcher le serveur de noms de démarrer.
Vulnérabilités d’attaque
De nombreux administrateurs système ne prennent pas la précaution de configurer leurs DNS afin de traiter les requêtes récursives qui proviennent d’adresses IP internes, alors que c’est une opération facile à réaliser. Cela peut être dû au fait parce qu’ils ne savent pas comment faire. L’autre raison est qu’ils ne comprennent pas souvent les implications de laisser un serveur de noms externe ouvert aux requêtes récursives.
À titre d’exemple, il se peut qu’une vulnérabilité inhérente apparaisse lorsqu’un serveur de noms permet des requêtes récursives à partir d’une adresse IP arbitraire. Cette approche permet aux pirates de mener une attaque par empoisonnement du cache lors de laquelle ils peuvent inciter le serveur de noms à mettre en cache des données fabriquées. L’attaque la plus célèbre de ce type est celle menée par Eugene Kashpureff qui a empoisonné les caches de centaines de serveurs de noms Internet, les amenant à rediriger les utilisateurs qui accèdent à www.intemic.net.
L’adresse IP d’un serveur Web a été gérée par une organisation appelée AlterNIC
Il est difficile de surestimer les dégâts qu’une attaque via le DNS pourrait causer aujourd’hui. Un pirate informatique pourrait rediriger le trafic destiné à un site Web, par exemple celle d’une banque, vers un serveur Web qui contient une réplique du contenu du site et voler des mots de passe et des numéros de compte. Les pirates peuvent aussi siphonner le trafic destiné à un commerçant en ligne vers un site web identique. De cette manière, ils peuvent capturer les numéros de cartes de crédit.
Des mises à jour difficiles
Avec « BIND » et les serveurs de noms de Microsoft, la mise à niveau des logiciels vers une nouvelle version n’est pas facile. La mise à niveau implique au moins le téléchargement du nouveau code source, de le compiler et de le tester avant de l’installer.
Dans plusieurs cas, des incompatibilités avec les versions précédentes des logiciels obligent les administrateurs système à modifier les configurations ou les données ou à lire des données sensibles de votre entreprise.
Par conséquent, certains administrateurs système remettent à plus tard cette tâche cruciale, même si de nouvelles versions sont disponibles.
La mise à niveau des serveurs de noms lorsque de nouvelles versions sont publiées
Il est important de mettre à niveau les serveurs de noms, mais sachez que cela peut avoir des effets désastreux.
Quelques mois après la découverte d’un dépassement de tampon et corrigé dans un code, un virus appelé LiOn a exploité la vulnérabilité du DNS dans le but d’infecter des centaines de serveurs de noms sur Internet. Il a également installé un « rootkit » que l’auteur du virus- ou toute autre personne- peut utiliser.
L’auteur du virus- ou toute autre personne qui connait son fonctionnement- pouvait l’utiliser pour accéder à la racine de l’hôte infecté. Les pirates auraient pu modifier ou détruire la zone démilitarisée ; ou utiliser le serveur de noms pour pénétrer dans votre réseau.
Aujourd’hui encore, il est fort probable qu’il y ait toujours des serveurs de noms compromis pendant la propagation de LiOn, à l’insu des administrateurs système.
Les récentes attaques liées au DNS
Une récente étude menée par EfficientIP et IDC fait la lumière sur la fréquence des différents types d’attaques DNS et les coûts associés pendant la pandémie de COVID-19.
La sécurité des réseaux DNS peut être compromise
Au Royaume-Uni, les dommages qui découlent de chaque attaque ont connu une baisse marquée de 27 % par rapport à l’année précédente. Les dommages enregistrés en 2021 étaient de 596 083 euros, tandis que les dommages en 2020 étaient d’environ 819 024 euros.
En fait, il s’agit de la plus forte baisse au niveau mondial. Les entreprises britanniques qui ont participé à l’enquête ont signalé environ 5,78 attaques au cours de l’année écoulée, ce qui constitue aussi la moyenne la plus faible signalée. Le chiffre le plus élevé était de 7,74 au Canada.
En termes de dommages régionaux causés par les attaques DNS, l’Europe a subi une moyenne de 743 920 euros par attaque. Il s’agit d’une légère augmentation de 3 % par rapport à l’année précédente.
Au niveau mondial, 87 % des entreprises ont subi des attaques DNS, dont le coût moyen s’élève à 779 008 euros. Cela signifie que les entreprises — tous secteurs confondus — ont subi environ 7,6 attaques l’année dernière. Ces chiffres démontrent le rôle central du DNS pour la sécurité des réseaux en tant que vecteur de menace et objectif de sécurité.
Les attaquants ciblent de plus en plus le cloud
Pendant la pandémie du COVID-19, les pirates informatiques ciblent de plus en plus le cloud. Ils profitent de la dépendance à l’égard des infrastructures de travail hors site et de cloud.
Environ un quart des entreprises ont subi une attaque DNS, abusant d’une mauvaise configuration du cloud. 47 % d’entre elles ont signalé une interruption de leur service cloud à la suite de l’attaque.
Sécurité des réseaux DNS
Bien que le coût et la variété des attaques restent élevés, on constate une sensibilisation croissante à la sécurité des DNS et à la manière de les combattre.
Les administrateurs système considèrent la sécurité du DNS comme un élément essentiel de leur architecture réseau. Par contre, il est important ce considérer que la confiance zéro n’existe pas si vous voulez protéger votre réseau à l’ère de l’informatique à distance.
Les solutions considérées comme les plus efficaces par les entreprises pour le vol de données comprennent la sécurisation des points d’extrémité du réseau, la surveillance des menaces et l’analyse du trafic DNS.
Bien sûr, il est positif que les entreprises utilisent le DNS pour protéger leur personnel de plus en plus éloigné, mais les entreprises continuent de subir les impacts coûteux des attaques DNS.
Alors que les acteurs de la menace cherchent à diversifier leurs tactiques, vous devez continuer à être conscientes de la variété des menaces, en vous assurant que la sécurité DNS est une priorité essentielle afin de les prévenir.
Faire du DNS votre première ligne de défense
Le DNS offre des informations précieuses contre les attaques cybercriminelles potentielles qui sont actuellement sous-utilisées.
Selon Ronan David, vice-président de la stratégie chez EfficientIP, l’existence de la pandémie du Covid-19 nous a montré que le DNS est important si vous voulez mettre en place un système de sécurité efficace. Alors que les travailleurs cherchent à effectuer une transition plus permanente vers des sites hors site, en faisant appel à l’IoT, au cloud, à la périphérie et à la connexion 5G, les entreprises et les fournisseurs de télécommunications devraient se tourner vers le DNS pour mettre en place une stratégie de sécurité proactive. Cela permettra d’assurer la prévention des temps d’arrêt de votre réseau ou de vos applications, ainsi que la protection de votre entreprise contre le vol de données confidentielles et les pertes financières.
Le fonctionnement du DNS sécurisé
Lorsqu’un utilisateur veut accéder à une page web spécifique, il doit entrer l’adresse
de la page ou son nom DNS dans la barre d’adresse de son navigateur. Ensuite, ces informations sont envoyées aux serveurs DNS de leur fournisseur de services Internet (FAI) sous la forme d’une « requête DNS ». Chaque FAI possède une base de données de noms DNS et un répertoire d’adresses IP correspondantes. Si le serveur peut répondre à la requête initiale à l’aide de ce répertoire, il envoie alors une réponse « faisant autorité » à l’ordinateur de l’utilisateur pour qu’il puisse se connecter avec le site web.
Il est bien possible que l’annuaire du FAI ne puisse pas répondre à la requête DNS initiale avec une réponse « faisant autorité ». Dans ce cas, le serveur va vérifier son cache. Le cache d’un serveur comprend un enregistrement de toutes les requêtes précédentes. Si le serveur peut utiliser ces informations du cache pour répondre à l’utilisateur, il va tout de même répondre, mais avec une réponse « non autorisée ». Autrement dit, les informations qui sont fournies à l’utilisateur ne proviennent pas directement du répertoire de son FAI, mais d’un tiers.
Si malgré ces deux solutions, le serveur ne parvient pas encore à fournir une réponse à la requête, alors le processus de requête DNS va utiliser la récursivité. Cela signifie que l’enquête DNS du FAI de l’utilisateur va se servir des informations qu’il possède sur d’autres serveurs « faisant autorité » dans leurs fichiers racine pour contacter et obtenir les informations que l’utilisateur souhaite avoir. Une connexion peut alors être établie par le FAI et son serveur va stocker ces nouvelles informations dans sa mémoire cache pour que le serveur puisse y accéder lors des futures requêtes.
DNS pour IPv4
IPv4 est l’abréviation de « Internet Protocol version 4 », qui spécifie le format et le schéma de l’adresse IP utilisé sur votre réseau local (Local Area Network). Pour vous aider à comprendre ce que c’est de façon la plus simple, vous pouvez considérer l’IPv4 comme l’adresse d’un ordinateur, et chaque adresse est unique.
Pour IPv4, le DNS est le plus souvent étroitement intégré au protocole DHCP (Dynamic Host Configuration Protocol). DHCP fournit des adresses IP, des serveurs de noms DNS et d’autres informations aux périphériques d’un réseau privé ou public.
Ainsi, pour sécuriser le DNS, il faut également protéger le DHCP, et ce, grâce à l’utilisation de techniques telles que l’espionnage DHCP et la limitation du relais DHCP.
DNS pour IPv6
Considéré comme la version du protocole Internet (IP), l’IPv4 est le moyen le plus utilisé dans le monde. Pourtant, ses adresses IP disponibles sont épuisées. Ce protocole utilise 32 bits pour ses adresses Internet. Cela signifie qu’il ne peut prendre en charge qu’environ 4,29 milliards d’IP. Oui, cela peut sembler beaucoup, mais sachez que ces 4,29 milliards d’adresses ont déjà été attribués à diverses institutions.
Voici pourquoi IPv4 doit être remplacé par une autre solution, à savoir Internet Protocol version 6 ou tout simplement IPv6. Ce nouveau protocole Internet IPv6 a été créé au milieu des années 90 et il est déjà très utilisé par les organismes gouvernementaux américains. Cette alternative à IPv4 commence également à s’introduire progressivement à travers le monde.
Selon la configuration du réseau IPv6, le protocole DHCP peut fournir ou non des informations DNS.
Par exemple, l’autoconfiguration des adresses sans état (SLAAC) ne nécessite pas de serveur DHCPv6, car le message Router Advertisement (RA) fournit le nom du ou des serveurs DNS.
IPv6 est un système qui offre non seulement beaucoup plus d’adresses internet, mais il simplifie également l’attribution d’adresses et de fonctions de sécurité réseau supplémentaires.
Comment passer de IPv4 à IPv6 ?
La transition de IPv4 à IPv6 peut s’avérer difficile, car la plupart des gens ne sont pas familiers avec ces protocoles, et encore moins avec l’impact potentiel du passage à IPv6.
Heureusement, ces deux protocoles peuvent coexister au sein d’un réseau. Cela permet aux entreprises de passer facilement et progressivement de IPv4 à IPv6.
Pour ce faire, il faut une bonne programmation est un inventaire de l’infrastructure existante. Cette opération doit aussi inclure une liste de toutes les adresses IPv4 de votre infrastructure réseau ; une liste des adresses auxquelles elles sont référencées dans toutes les applications, ainsi qu’une liste de tous les mappages DNS. Grâce à l’inventaire, vous pourrez vérifier si votre fournisseur DNS externe actuel et les périphériques de votre infrastructure réseau peuvent prendre en charge IPv6.
Attaques DNS et protection DNS
Le DNS fait partie de l’infrastructure fonctionnelle et du cadre de confiance de l’Internet. Sans les noms de domaine, les énormes matériels, logiciels et applications internet des entreprises ne pourront être trouvés et accessibles par les utilisateurs.
Malheureusement, parce que le DNS constitue un élément clé de l’infrastructure, il est devenu un élément très ciblé par les pirates informatiques.
Les attaques de déni de service distribué (DDoS) ciblant le DNS sont un type spécifique d’attaque exposant les vulnérabilités du DNS.
Un white hat recherche un résolveur DNS ouvert et lance une attaque par Déni De Service Distribué (DDoS), soit contre le résolveur lui-même, soit contre d’autres systèmes. La cible reçoit une réponse DNS de partout sur Internet. Les réponses DNS peuvent ensuite être usurpées, ou créées avec de fausses informations, pour rediriger les utilisateurs de sites légitimes vers des sites web malveillants.
Qu’est-ce qu’une attaque DDoS ?
Une attaque DDoS implique la surcharge intentionnelle d’un dispositif, dans le but de rendre ce dispositif ou le service qu’il fournit inaccessible aux utilisateurs.
L’attaque DDoS utilise trois éléments : le spoofing, la réflexion et l’amplification. En réalité, le but des pirates informatiques est de saturer un serveur de noms à travers de nombreux résolveurs DNS ouverts et en utilisant des botnets.
Le spoofing consiste à envoyer un grand nombre de requêtes à des dizaines de milliers de serveurs DNS où l’adresse IP source est spoofée vers le ou les serveurs DNS de l’organisation ciblée. Ensuite, ces serveurs reflètent l’attaque depuis la source vers la cible. Enfin, l’amplification intervient lorsque le serveur réfléchissant répond à la requête relativement petite avec une réponse beaucoup plus grande.
Dans le cas du DNS, le problème est aggravé parce qu’une très petite requête – de moins de 100 octets – peut être amplifiée jusqu’à 50 fois (ou plus) pour générer des milliers d’octets en réponse.
À elle seule, cette forme d’attaque ne tente pas d’accéder aux données d’une organisation. Pourtant, elle peut être utilisée à des fins malveillantes par des pirates informatiques pour empêcher l’accès à certaines ressources ou inhiber certains services fournis par le système ciblé.
Les attaques DDoS ne cessent d’augmenter dans le monde entier. L’une des plus importantes attaques jamais réalisées s’est produite contre les serveurs Dyn DNS en octobre 2016. Les pirates ont utilisé des dispositifs IoT (internet des objets) pour générer jusqu’à 1 téraoctet de trafic. Selon le Worldwide Infrastructure Security Report (WISR), un tiers des opérateurs DNS ont signalé une attaque de ce genre qui ont affecté leurs clients.
Attaque DNS Spamhaus en 2013
L’énormité d’une attaque DDoS est époustouflante. Prenons pour exemple celle qui a été menée en mars 2013 contre Spamhaus, une organisation internationale non gouvernementale basée à Genève et à Londres.
L’attaque a commencé avec une requête DNS avec une adresse IP bidon, mais elle a rapidement pris de l’ampleur pour deux raisons.
Premièrement, la taille du paquet de réponses envoyé par le résolveur DNS est souvent plusieurs fois supérieure à celle du paquet de requêtes. Deuxièmement, le nombre de réponses DNS générées augmente exponentiellement à mesure que le nombre de serveurs participant augmente.
Selon Spamhaus, plus de 30 000 résolveurs DNS ont initialement participé à l’augmentation du flux de réponses DNS.
Si une grande quantité de trafic est reçue d’une adresse IP, la sécurité peut être configurée pour limiter les paquets provenant de cette adresse.
Mais pour l’incident de Spamhaus, les attaquants ont utilisé un grand nombre d’adresses IP différentes. Par conséquent, le nombre de réponses DNS de chaque adresse IP individuelle n’a pas déclenché le mécanisme de limitation de paquets.
Détournement du DNS & sécurité des serveurs
Cette attaque est très facile à comprendre, comparée au spoofing. Elle consiste à changer complètement vos paramètres DNS, de sorte que toutes les requêtes de votre trafic Internet puissent être dirigées vers un serveur DNS malveillant. De ce fait, les résultats que vous recevrez – notamment les sites web que vous verrez dans votre navigateur – seront tous très probablement infectés ou corrompus.
Le fait que l’attaque est plus facile à comprendre ne signifie pas pour autant qu’elle est facile à détecter. En réalité, les pirates utilisent des chevaux de Troie spécifiquement conçus pour modifier les paramètres du DNS.
Pour que cette menace réussisse, les pirates doivent passer par une étape préliminaire, où les ordinateurs vont être affectés par des botnet qui donnent aux attaquants le contrôle du système.
Une autre façon de détourner les DNS consiste à modifier le comportement d’un serveur DNS de confiance, de telle sorte qu’il paraisse plus conforme aux standards Internet.
Dans les deux cas, le résultat reste toutefois le même, c’est-à-dire que les victimes se verront livrer toujours des sites web malveillants via lesquels des campagnes de pharming ou de phishing peuvent être lancées.
Identification du trafic DNS malveillant
Le DNS peut utiliser les protocoles TCP ou UDP. Le trafic sur le port TCP 53 représente souvent des transferts de zone pour garder les serveurs esclaves en synchronisation avec le fichier de zone maître. Toutefois, des intrus peuvent utiliser ce mécanisme pour télécharger le contenu du fichier de zone d’un serveur de noms. Pour éviter cela, les administrateurs doivent bloquer les demandes de transfert de zone à partir de tout périphérique autre que le serveur de noms esclave autorisé.
Comme tout autre port, le port 53 peut être utilisé en guise de tunnel de trafic non autorisé. Méfiez-vous donc si Wireshark signale des paquets « malformés » ou demandant des « opérations inconnues ».
À quoi ressemble le trafic malveillant ?
Pour comprendre la différence entre trafic malveillant et trafic bénin, vous devez d’abord comprendre la manière générale dont les malwares ciblent le DNS. Ces derniers utilisent généralement les algorithmes de génération de domaine (DGA) ou le DNS tunneling/C2.
Les DGA se produisent lorsqu’un malware communique avec un domaine généré de manière algorithmique plutôt que de faire cela avec un domaine C2 codé en dur. Ces domaines ont un aspect distinct et intègrent souvent des chaînes de caractères aléatoires. À noter que les DGA ne font que générer des domaines d’apparence aléatoire. Certains algorithmes peuvent aussi utiliser des mots du dictionnaire informatique pour rendre les domaines moins suspects.
Pour les auteurs de malware, le grand avantage de l’utilisation de la DGA est que, lorsqu’un seul domaine est en cours d’arrêt, cela ne signifie pas qu’ils ont perdu le contrôle de leur malware. Si les défenseurs tentent d’éteindre les malwares en mettant des noms de domaines sur une liste noire, ils auront plus de mal à le faire puisque les pirates peuvent contourner facilement ce système de défense.
Quant au DNS tunneling, cette forme d’atteinte à la sécurité utilise le DNS lui-même pour le transfert de données. Cette forme de cyberattaque code les données d’autres programmes ou protocoles dans les requêtes et les réponses DNS. Elle inclut souvent des données utiles qui peuvent être ajoutées au serveur DNS ciblé et utilisées pour contrôler un serveur distant et ses applications.
Parmi les récentes attaques de DNS tunneling, on peut citer celles menées par le groupe DarkHydrus en 2018 – ciblant des entités gouvernementales au Moyen-Orient – et OilRig qui opère depuis 2016 et est toujours en activité.
Apparence bénigne, mais suspecte
Ces deux techniques de cyberattaques devraient être suffisamment distinctes pour que les professionnels de l’informatique puissent les éviter. Mais il faut aussi noter qu’il existe un certain nombre de logiciels légitimes qui se comportent de la même manière.
Prenons l’exemple de Google Chrome. Au démarrage, ce navigateur interroge 3 domaines aléatoires. Ce comportement est nécessaire pour assurer le bon fonctionnement de l’Omnibox pour certains types de requêtes. Pourtant, ce mode de fonctionnement peut paraître très suspect pour la solution de sécurité de votre réseau.
Pour différencier ce trafic bénin du trafic malveillant réel, vous devez savoir que les domaines générés par Chrome n’incluront que les domaines racine qui figurent dans votre liste de suffixes DNS par défaut.
Une autre catégorie courante de trafic suspect, mais finalement bénin, est celle des logiciels de protection des terminaux qui communiquent avec leur infrastructure. Par exemple, Sophos Extensible List peut créer un certain nombre de requêtes différentes pour sophosxl.net. Il existe une variété de raisons différentes de faire cela, y compris les recherches de réputation IP et les vérifications de latence de la transmission des données. Nous avons vu McAfee et Cymru utiliser ce genre de méthode pour leurs systèmes DNS.
Ce trafic peut ressembler au tunneling DNS, car il utilise essentiellement le DNS de la même manière que les malwares. Pourtant, comme le domaine racine est celui d’un fournisseur connu et qui est déployé sur votre réseau, ce trafic est bénin, même si des recherches fondamentales et des analyses de l’infrastructure du domaine soient encore recommandées pour le confirmer.
Le DNS peut protéger votre réseau
Le DNS est essentiel pour rendre possible toute communication en réseau. Il semble être un outil qui travaille de manière invisible jusqu’à ce que quelque chose tourne mal. Si le service DNS tombe en panne, alors plus rien ne fonctionnera donc sur votre réseau.
Mais comment le filtrage DNS contribue-t-il à bloquer les malwares, les attaques de phishing et bien d’autres menaces en ligne ?
Bloquer les sites web malveillants
Un site web hébergeant un malware peut soit tenter de tromper les utilisateurs afin de les inciter à télécharger un programme malveillant, soit effectuer un téléchargement du type « drive-by », c’est-à-dire en téléchargeant automatiquement un malware lorsqu’une page web malveillante se charge.
D’autres types d’attaques sont également possibles. Par exemple, les pirates peuvent utiliser des pages web contenant un code JavaScript. JavaScript est un langage de programmation complet et il peut donc être utilisé de différentes façons pour compromettre les appareils de vos employés et votre réseau informatique.
Le filtrage DNS peut empêcher les utilisateurs de charger des sites web malveillants et prévenir ce type d’attaque.
Bloquer les sites de phishing
Pour mener leur campagne de phishing, les pirates utilisent un faux site web via lequel ils peuvent voler vos identifiants de connexion. Ils utilisent un domaine usurpé ou simplement un domaine qui semble officiel que la plupart de vos employés ne penseront pas à remettre en question.
Quelle que soit la méthode utilisée, l’objectif reste le même : tromper les utilisateurs et les inciter à divulguer leurs identifiants de connexion aux attaquants. Ces sites web peuvent également être bloqués si vous utilisez un filtre DNS.
Les capacités du filtre DNS à bloquer ces sites malveillants sont basées sur le fait que le système de filtrage sache identifier le plus d’adresses IP ou de domaines malveillants possible comme étant mauvais. Attention toutefois, car une fois que le filtre DNS parvient à identifier un site comme malveillant, les attaquants peuvent générer très rapidement de nouveaux domaines pour mener leurs campagnes de phishing. Autrement dit, il n’est pas possible de bloquer tous les sites de phishing uniquement avec un filtre DNS.
Bloquer les contenus interdits
Il est possible de restreindre l’accès à certains types de contenus grâce au filtre DNS. Le processus est similaire à celui décrit ci-dessus, c’est-à-dire que le filtre va bloquer les noms de domaine et les adresses IP connus pour héberger des contenus interdits. Mais vous pouvez aussi ajouter des sites web que vous avez approuvés à une liste d’autorisation. Dans ce cas, le filtre DNS ne bloquera que les sites web inappropriés pour le travail ou qui représentent une menace pour votre organisation.
Prévenir ou empêcher une attaque DNS ?
Le DNS peut être configuré pour atténuer les problèmes de sécurité DNS courants. Selon le projet Open Resolver, « les résolveurs ouverts représentent une menace importante pour l’infrastructure réseau globale ».
Empêchez votre serveur DNS d’être un résolveur ouvert, répondant aux requêtes DNS de n’importe quelle adresse sur Internet. Limitez les serveurs récursifs internes aux sous-réseaux IP utilisés par votre entreprise.
Gardez cependant à l’esprit que de nombreux (sinon la plupart des) résolveurs DNS sur Internet sont ouverts, soit parce qu’ils n’ont pas été sécurisés, soit parce qu’ils sont destinés à être ouverts au public, comme le service Comodo. Pour tester votre adresse IP pour détecter les résolveurs ouverts, consultez http://www.thinkbroadband.com/tools/dnscheck.html.
Bien qu’il n’existe aucun moyen sûr d’empêcher une attaque DNS, les mesures suivantes peuvent minimiser les risques :
- Le blocage DNS utilisé pour la sécurité contre le phishing et le spam peut aider à prévenir les attaques DNS. Ce mécanisme empêche les entités de localiser des domaines ou des sites Web spécifiques et malveillants sur Internet.
- Configurez vos serveurs DNS faisant autorité pour utiliser la limitation du taux de réponse DNS.
- Le trafic DNS doit être limité en fonction du type de paquet DNS. Par exemple, une réponse de transfert de zone aurait un seuil plus élevé qu’une réponse pour le nom du serveur DNS.
- Travaillez avec votre fournisseur d’accès Internet pour bloquer ou limiter le trafic que vous ne voulez pas sur votre réseau, si possible.
- Surveillez votre réseau, en particulier les adresses IP des clients qui utilisent le plus de bande passante.
La fermeture des résolveurs ouverts et l’utilisation du blocage DNS ne peuvent pas protéger contre l’usurpation d’identité des paquets. Ainsi, Google déclare que votre site doit être équipé pour faire face à une charge accrue occasionnée par une attaque. Il vous faudra un filtre pour les cycles de bande passante et de processeur ainsi qu’une capacité générale d’équilibrer la charge.
Utilisez le filtre DNS WebTitan pour mieux sécuriser votre réseau
Le filtre DNS WebTitan est une couche de protection tierce qui permet de protéger en temps réel votre réseau contre les menaces en ligne comme les virus, les malwares, les ransomwares, le phishing et les botnets. Voici les principales caractéristiques de ce service basé dans le cloud :
- Filtrage des URL avec une catégorisation en temps réel de plus de 500 millions de sites web.
- Des clés cloud qui permettent aux administrateurs réseau de créer facilement des exceptions aux politiques de l’utilisation de l’internet sans avoir à les modifier.
- Un système de filtrage complet avec plus de 53 catégories personnalisables.
- Une grande protection contre les menaces en ligne grâce à l’utilisation d’une liste noire de DNS et d’URL malveillants.
- Une plate-forme en ligne facile à mettre en place et à utiliser.
- Suite complète de plus de 50 rapports prédéfinis avec de multiples options de programmation et d’exportation.
- Visibilité en temps réel des activités de navigation de tous les utilisateurs du réseau de l’entreprise.
- Un système basé dans le cloud, offrant un filtrage pour tous les utilisateurs, même ceux qui travaillent à distance.
Bref, ce filtre DNS est conçu pour faire de l’internet un endroit plus sûr et plus sécurisé pour vous et vos employés.
En résumé
Face à la recrudescence des menaces en ligne, le DNS peut offrir une couche de protection supplémentaire entre vos employés et l’internet. Pour ce faire, il met sur liste noire les sites malveillants et filtre les contenus indésirables. Utilisez des serveurs DNS sécurisés pour vos employés de bureau et les travailleurs distants et vous éviterez les risques inutiles d’attaques malveillantes.
Le système de noms de domaine reste un outil essentiel pour le bon fonctionnement de l’internet, mais sachez qu’une attaque contre le DNS peut avoir de graves conséquences. L’important est d’être toujours conscient des menaces en ligne et d’adopter les mesures nécessaires pour prévenir les éventuelles attaques. Si un pirate s’en prend à votre organisation et que vous subissez des dommages, vous devrez aussi être en mesure de les atténuer.
Redirigez vos requêtes DNS vers WebTitan Cloud. Il s’agit d’une puissante solution de filtrage de contenu 100 % basée dans le cloud et qui vous permet d’empêcher vos employés d’accéder à des pages web inappropriées via votre réseau, et de contrôler soigneusement l’accès aux applications web.
WebTitan Cloud est conçu pour être rapide et facile à mettre en œuvre et à gérer. Cette solution de filtrage DNS est évolutive et a été conçue pour répondre aux besoins de la majorité des fournisseurs de services gérés et des petites et moyennes entreprises. Elle est universellement compatible avec vos systèmes d’exploitation et peut être configuré pour répondre aux besoins de votre organisation par le biais d’une interface web, accessible depuis n’importe quel dispositif connecté à Internet.
Pour plus de détails sur WebTitan et sur la protection de votre entreprise contre les attaques DNS, contactez TitanHQ dès maintenant.
DNS FAQ
Qu’est-ce que le DNS ?
Le système de noms de domaine, ou DNS, est comme l’annuaire téléphonique de l’Internet. Il fonctionne en traduisant votre URL en utilisant la langue des ordinateurs. Cette langue, c’est-à-dire les adresses IP, est constituée d’une suite de chiffres du type 105.136.182.205.
Pour un simple internaute, il serait difficile de mémoriser ces chiffres pour chaque site qu’il visite. C’est pour cela qu’il lui faut le DNS. C’est un système qui peut traduire ces chiffres dans des noms communs pour qu’il le reconnaisse, comme Google.com.
Qu’est-ce que le filtrage DNS ?
Le filtrage DNS est une pratique consistant à bloquer l’accès à certains sites dans un but précis, dans la plupart des cas via un filtrage basé sur le contenu. Plus précisément, si un site (ou une catégorie de sites) représente une menace, son adresse IP sera instantanément bloquée par votre filtre DNS, c’est-à-dire que vos employés ne pourront pas accéder à ce site.
Parmi les sites qui sont susceptibles d’être bloqués, on compte par exemple les sites pour adultes ; les sites de jeu et toute autre plateforme en ligne qui peut présenter un risque important, comme ceux pouvant télécharger des malwares.
Comment le DNS est-il utilisé par les pirates informatiques ?
Un pirate informatique cherche toujours à trouver un moyen de faire en sorte qu’un site web signale la mauvaise adresse IP. Lorsque cela est fait, toute personne, comme vos employés, peut essayer d’accéder au site web en question. Ensuite, ils seront redirigés vers un faux site web.
Les cybercriminels peuvent également placer de fausses informations dans le cache d’un serveur. Ils y parviennent en attribuant à une demande d’information à une fausse réponse en utilisant une adresse IP source truquée.
Une fois que la fausse réponse revient, elle sera toujours mise en cache. Les pirates profitent ensuite de cette option pour répondre à toutes les demandes d’information jusqu’à ce que l’information soit considérée comme légitime et pour qu’ils puissent télécharger leur charge utile.
Pourquoi utiliser un filtre DNS ?
Un autre avantage de l’utilisation d’un filtrage DNS pour les entreprises est l’augmentation de la productivité de leur personnel. Par exemple, les sites de streaming peer-to-peer peuvent saper la bande passante, mais cela constitue également une source de téléchargement de malwares et peut saper la bande passante, outre le fait de distraire les travailleurs
Il suffit pourtant d’appliquer des politiques de filtrage DNS pour empêcher vos employés de visiter ces sites et de mieux contrôler leurs réseaux informatiques.
Un filtre DNS est-il suffisant pour vous mettre à l’abri des menaces cybercriminelles ?
Un serveur DNS sécurisé peut bloquer les sites web malveillants ou interdire leur consultation. Il faut également noter que certains serveurs DNS sécurisés peuvent offrir une confidentialité accrue pour protéger les données des utilisateurs.
Outre le filtrage DNS, vous pouvez aussi adopter d’autres moyens si vous voulez rendre votre processus DNS plus sûr. Il est par exemple possible d’appliquer le protocole DNSSEC qui permet de vérifier que les résolveurs DNS et qui fournit des informations exactes concernant les éventuelles attaques cybercriminelles.
Vous pouvez aussi utiliser les protocoles DNS DoT et DoH pour chiffrer les requêtes et les réponses DNS pour que les pirates ne puissent pas traquer les requêtes DNS de l’un de vos employés et pour suivre leurs activités en ligne.