Imaginez le scénario suivant : vous allez sur le site web de votre banque tel que www.safebank.com pour vérifier le solde de votre compte et peut-être payer certaines factures. Lors de ce processus, vous faites une faute d’orthographe et vous tapez par inadvertance www.safebakn.com, en mettant le « k » avant le « n ». Pourtant, vous atterrissez sur un site qui semble habituel, que vous connaissez depuis plusieurs années. Alors, vous cliquez sur le lien de connexion et tapez votre nom d’utilisateur et votre mot de passe. À partir de ce moment, vous êtes redirigé sur une nouvelle page où l’on vous pose une question d’authentification telle que le nom de votre père. Vous tapez la réponse et cliquez sur le bouton « Envoyer ».
Vous êtes alors dirigé vers une page qui déclare qu’une erreur s’est produite et vous devez vous connecter à nouveau. Vous cliquez sur le bouton « Réessayer » et vous êtes redirigé vers la page légitime www.safebank.com, puis vous répétez le processus de saisie de votre nom d’utilisateur et de votre mot de passe. Heureusement, le processus de connexion est réussi cette fois-ci et vous avez désormais accès à votre compte.
Deux jours plus tard, vous vous reconnectez et constatez un retrait non autorisé de 2 000 $. Malheureusement, ce scénario n’est pas aussi farfelu que vous pourriez le penser. Ce n’est qu’un exemple classique de typosquatting, ou littéralement typosquattage. Une forme de détournement d’URL qui repose sur des erreurs typographiques commises par des utilisateurs finaux et qui les dirigent vers un faux site web. Ce genre de site est souvent créé pour mener des attaques malveillantes.
Les cybercriminels ciblent souvent les banques ou les sites e-commerce et achètent des noms de domaine composés d’une ou deux lettres incorrectes, comparés aux noms de domaines originaux. Ces URL dirigent les clients qui ont accidentellement mal tapé le nom de domaine désiré vers le serveur web du cybercriminel qui héberge un site malveillant.
Comment fonctionne le typosquatting étape par étape ?
Le typosquattage est une méthode utilisée par les arnaqueurs pour tirer profit des noms de domaine fréquemment mal orthographiés, créant souvent des domaines dupliqués, ressemblant à ceux des marques légitimes.
En lisant le scénario ci-dessus, vous vous demandez peut-être comment le faux site a su poser la question de sécurité appropriée. Était-ce juste une supposition de la part du cybercriminel ? La réponse est non. Dès que le client entre ses identifiants de connexion pour la première fois, le faux site a simultanément ouvert une session et entré les mêmes identifiants de connexion sur www.safebank.com.
Étant donné que cette tentative de connexion a été effectuée à partir d’une adresse IP non reconnue, le faux site s’est vu poser la question d’authentification à double facteur (pour notre cas, il s’agit du nom du père de la victime). En réalité, le faux site web n’a fait que transmettre la question d’authentification posée sur le site www.safebank.com à l’utilisateur.
Après avoir saisi toutes les informations pertinentes, le faux site web a affiché une page d’erreur. Lorsque le client clique sur le lien pour répéter le processus de connexion, il est redirigé vers le site web légitime de la banque, ce qui explique le succès de la connexion. Malheureusement, le cybercriminel a peut aussi ouvrir cette même session et retirer de l’argent facilement via le compte du client.
Les ventes de nom de domaines sont en constante augmentation
Force est de constater que l’utilisation des noms de domaines de premier niveau les plus populaires tels que « .com » et « .net » diminue progressivement.
Par contre, l’utilisation du nom de domaine « .om » est en constante augmentation. Comme on pouvait s’y attendre, la majorité de ces achats ne provenaient pas de citoyens du pays d’Oman ou du Moyen-Orient, qui possèdent le domaine de premier niveau légitime « .om ». L’une des raisons les plus probables est l’augmentation du nombre d’attaques du type « typosquattage. »
Comment vous protéger contre le typosquatting ?
Alors, comment prévenir un tel scénario ? En réalité, c’est très simple : il suffit de la diligence de l’entreprise qui est attaquée et peu d’attention de la part de l’utilisateur.
Voici comment vous pouvez vous protéger du typosquattage en 3 étapes :
Prise de conscience
Bien sûr, l’utilisateur aurait dû remarquer qu’il avait mal tapé le nom de domaine dans le navigateur, mais il aurait aussi dû remarquer que l’adresse n’utilisait pas SSL. Le faux site web aurait été présenté avec le préfixe « HTTP », car une connexion SSL aurait échoué en raison de l’absence de ce certificat de confiance.
Lorsque le client était redirigé vers le bon site web, le préfixe « HTTPS » ou l’icône d’un cadenas devrait apparaître correctement, indiquant un site de confiance et une connexion sécurisée. Le fait est que nous devons tous être plus vigilants lorsque nous accédons à des sites web qui nécessitent une authentification afin de protéger la confidentialité et l’intégrité des données.
Tout comme les gens devraient faire attention pour ne pas se faire voler leurs portefeuilles dans des environnements surpeuplés, les clients du web doivent être conscients de la sécurité de leur navigateur.
Sécurité Internet
Obtenez une suite de sécurité Internet complète pour vous protéger contre les tentatives de phishing, des virus, des ransomwares et d’autres types de malwares. À noter que les solutions de sécurité Internet de WebTitan peuvent bloquer les malwares et les empêcher de compromettre vos systèmes ou de voler vos données.
Sécurisation de votre site Web contre la capture d’iframe.
L’autre mesure que les entreprises peuvent prendre est de renforcer la sécurité de leur site web à partir de la capture iframe, un moyen trop simpliste pour une personne malveillante de capturer le contenu web et les liens d’un autre site. Les développeurs de sites internet doivent mettre en pratique des méthodes de chiffrement sûres afin de décourager le typosquattage et la duplication de contenu.
Si vous voulez en savoir plus sur notre gamme de solutions de sécurité, obtenez un devis d’essai gratuit et sans obligation en nous envoyant un e-mail à l’adresse info@titanhq.fr.
Les sites Web se terminant par .xxx sont désormais en vente. Il s’agit d’une évolution attendue depuis longtemps par les professionnels de l’industrie du divertissement pour adultes. Le suffixe .xxx est un domaine générique de premier niveau qui n’a pas de désignation géographique ou de pays, vers lequel tous les sites web pour adultes pourront être déplacés pour permettre de filtrer et d’éviter que les utilisateurs du web ne soient exposés à des contenus pour adultes.
Tout le monde peut acheter en ligne ce nom de domaine, dont ICM Registry est la société propriétaire. Actuellement, ce ne sont pas seulement les sociétés de divertissement pour adultes qui se précipitent d’enregistrer leur marque en tant que .xxx. Des entreprises, particuliers et autres institutions s’y sont également lancées pour éviter que d’autres ne le fassent à leur place et n’associent les noms de domaines à des contenus pour adultes.
Le domaine de premier niveau et son importance
L’adresse d’un site web contient plusieurs éléments qui permettent aux internautes de la distinguer et de s’en souvenir. Parmi ces éléments figure le domaine de premier niveau (ou « Top-Level Domain – TLD ») qui comprend des lettres placées après le point, comme .net et .com.
Le TLD fait partie de l’URL d’un site internet est il est le niveau le plus élevé du système hiérarchique des noms de domaine. C’est donc un élément important qui permet non seulement à un site web de fonctionner correctement, mais aussi de le faire apparaitre comme légitime aux yeux des visiteurs potentiels.
Lorsque vous créez votre propre site web, la première chose à faire est d’enregistrer un nom de domaine. Pour ce faire, vous aller sélectionner un TLD qui correspond à votre catégorie d’activité. Ce choix ne doit pas être pris à la légère, car il aura un impact sur l’apparence de votre URL et sur la facilité ou la difficulté pour les utilisateurs à s’en souvenir. De plus, certains noms de domaine de premier niveau ont des origines et des objectifs spécifiques selon leur nature.
Le .gov est, par exemple, réservé aux organismes gouvernementaux, tandisque .com est généralement utilisé par les organisations commerciales. Pour le cas du nouveau domaine .xxx, sa vocation est d’être exploité pour des sites pornographiques.
Pourquoi un nouveau domaine .xxx ?
Pour donner aux lecteurs un peu de contexte, l’ICANN (Internet Corporation for Assigned Names) a décidé de créer un nouveau domaine de premier niveau pour les sites Web pour adultes ou les sites à caractère pornographique, en utilisant le suffixe « .xxx ». Le plan était que tous les sites pornographiques puissent être consignés dans un coin de l’Internet.
Rappelons que l’ICANN est l’organisme qui régit les noms de domaine et qui a approuvé les sept premiers domaines dans les années 1980, à savoir .com, .org, .gov, edu, .net, .int et .mil. Dans les années 2000, il a ajouté d’autres domaines comme .aero, .coop, .jobs, .asia, .cat, .tel, .mobi, .museum et .travel. Ce n’est qu’en 2011, et après des années de réflexion, que l’ICANN a approuvé l’utilisation du domaine de premier niveau .xxx pour les sites web de divertissement pour adultes.
En théorie, une fois que tous les sites web pour adultes auront une adresse .xxx, il sera facile pour les utilisateurs de l’Internet de les trouver – si c’est exactement ce qu’ils veulent – et facile pour eux de les bloquer au cas où ils ne voudraient pas les voir.
L’idée sous-jacente à cette nouvelle extension est de permettre aux entreprises, parents et professionnels de la sécurité web de bloquer des sites pornographiques en bloquant simplement l’extension.
De nombreuses entreprises de l’industrie du divertissement pour adultes devraient donc s’inscrire pour un nom de domaine .xxx. Mais les entreprises qui basculent vers les nouveaux noms et qui les utilisent massivement sont sceptiques, car les analystes prédisent que de nombreuses entreprises vont simplement créer des redirections vers leurs sites « .com » principaux.
Alors, à qui profite réellement ce déménagement ?
Les opérateurs de sites pornographiques ont la possibilité d’utiliser ou non le nouveau domaine. Les opposants à ce concept estiment que, comme il ne s’agit pas d’une exigence de domaine imposé, cela ne représente aucun avantage.
Si seulement une sous-section des sites pornographiques se déplace vers le nouveau domaine, le blocage prévu des sites pornographiques via le domaine .xxx ne sera pas efficace.
Pro-domaine .xxx
Le domaine .XXX est sponsorisé. La communauté des sponsors est composée des personnes qui fournissent des divertissements pour adultes en ligne et de leurs fournisseurs et représentants. Il peut s’agir d’un individu, d’une entreprise, d’une entité ou d’une organisation qui fournit des divertissements en ligne pour adultes à orientation sexuelle et qui sont destinés à des adultes consentants ou à d’autres membres de la communauté.
Naturellement, ce sont donc ces personnes et entités qui sont les plus susceptibles d’être intéressées par l’enregistrement de leurs noms de domaine en tant que .xxx.
Selon les partisans de ce concept, ce changement est comme une nouvelle façon prometteuse de filtrer la pornographie sur Internet.
Rappelons que le directeur général d’ICM Registry, Stuart Lawley s’est battu depuis une dizaine d’années pour obtenir l’autorisation d’ajouter ce nouveau domaine pour adultes sur le web. Selon lui, cela permettrait aux gens d’identifier le contenu et le consulter ou l’éviter comme ils l’entendent. Il a également expliqué que ces nouveaux sites devraient être exempts de virus et plus difficiles d’accès pour les enfants, étant donné que chaque site .xxx recevra automatiquement un label de protection de l’enfance et qu’il sera possible de configurer les navigateurs pour filtrer automatiquement ces sites. Cela pourrait être une solution avantageuse pour l’industrie du divertissement pour adultes et pour les personnes qui se préoccupent de la sécurité de leurs enfants sur le web.
Du point de vue de la gestion de la réputation d’une marque, il n’y a aucun mal à acheter le nom de votre entreprise ou de votre marque en tant que domaine .xxx, à condition que le coût d’adhésion ne soit pas exhorbitant. Il constitue un moyen de protéger de façon proactive votre nom (ou celui de votre entreprise) sur le web. Il ne devrait donc y avoir un inconvénient à cela.
Mais tout le monde n’est pas du même avis.
Anti-domaine .xxx
Depuis que les noms de domaine de premier niveau qui terminent par le suffixe .xxx sont devenus disponibles, de nombreux groupes et institutions, y compris l’industrie du divertissement pour adultes elle-même, ne cessent de protester contre cette évolution.
D’une part, les personnalités publiques et les institutions académiques s’inquiètent de la possibilité d’apparition d’actes malveillants comme :
L’achat d’un nom dans le but de faire du « cybersquatting », en le revendant à une l’organisation ayant-droit à un prix plus élevé.
La redirection du public qui utilise la version .xxx d’un site web vers des sites qui peuvent nuire à leur réputation.
La revente de noms de domaine .xxx au plus offrant.
De nombreuses organisations, entreprises et personnalités publiques qui n’ont aucun lien avec l’industrie adulte ont même commencé à acheter les noms de domaines les concernant, de peur que le suffixe nouvellement disponible ne leur cause des problèmes ou des dépenses supplémentaires.
Dans un billet de blog, le vice-président de la politique d’Educause, Gregory Jackson, a souligné que les effets de la mise en place de ce nouveau domaine ont été négatifs. Aucun collège ou université n’a encore bénéficié de cette initiative. Au contraire, elle expose ces institutions à des risques sans qu’elles ne reçoivent aucune valeur en retour. Selon Gregory Jackson, il faudrait renforcer les procédures d’émission et de gestion des noms domaines génériques de premier niveau pour réduire leurs effets négatifs involontaires sur les collèges et les universités. En guise d’exemple, il a mentionné le cas de l’Université d’Hawaï. Cette institution a déjà été confrontée à un problème majeur lorsqu’un individu a acheté un nom de domaine connexe appelé universityofhawaii.xxx. L’acheteur du nom de domaine présentait ce qu’il décrivait comme des « étudiantes hawaïennes nues et sexy ». Heureusement, une lettre de désistement et de cessation de l’université a pu convaincre l’opérateur de retirer le site.
Stephen Balkam, PDG de l’organisation internationale Family Online Safety Institute, a également affirmé qu’il ne s’agit pas d’une solution miracle ni un moyen facile et rapide d’éviter le porno. Il s’agit plutôt d’un modeste outil de filtrage des contenus web. La raison est qu’il existe de nombreux autres sites qui utilisent d’autres extensions comme .com et qui n’utiliseront probablement pas le domaine .xxx.
Enfin, selon un article publié dans le magazine mensuel américain PCWorld, les propriétaires d’entreprises ne devraient pas nécessairement s’inquiéter de l’achat de l’équivalent de leur site web en tant que domaine .xxx, et ce, pour deux raisons. D’une part, la plupart d’entre elles – notamment les marques bien établies comme Microsoft – possèdent un contenu protégé par des marques déposées et des droits d’auteur. Au cas où le nom de domaine serait reproduit sur un site .xxx, il pourra donc être annulé par voie légale.
Que faire pour ne pas mettre votre marque en danger et éviter le cybersquatting ?
Il est possible de bloquer l’achat de votre nom de domaine en version .xxx. Il s’agit d’une action préventive qui empêchera que le nom de domaine de votre enseigne ou votre marque soit utilisé en tant que .xxx par quelqu’un d’autre pour créer un site pour adultes.
Il suffit d’un seul enregistrement pour bloquer l’usage de votre nom de domaine pendant 1 jusqu’à 10 ans et le rendre totalement inexploitable. Sachez toutefois que les TLD .xxx ne sont pas gratuits. Vous devez les acheter auprès d’un opérateur spécialisé et autorisé.
Les noms de domaine ne sont pas destinés à être achetés à vie. Ils sont seulement loués pendant une certaine période et le registrant doit être membre d’une communauté parrainée s’il veut que son nom de domaine .xxx soit résolu. Par contre, le processus d’adhésion est simple et rapide. Il suffit de confirmer vos informations de contact et d’obtenir un identifiant d’adhésion. Ensuite, lorsque vous allez acheter un domaine .xxx, vous fier à votre société d’hébergement (GoDaddy, Network Solutions, etc.) pour l’enregistrement de votre site. De cette manière, vous n’aurez pas de problème avec votre achat, sauf si le nom que vous demandez est déjà pris.
Les personnes qui soutiennent l’utilisation du nom de domaine .xxx recommandent aux entreprises de réserver le plus tôt possible leur TLD .xxx, même si elles n’envisagent pas encore d’enregistrer leur site. Autrement, quelqu’un pourrait revendiquer leur place et l’enregistrer en premier dans l’industrie du divertissement pour adultes. D’autres peuvent également utiliser leur marque pour générer du trafic sur leur site, ce qui n’est pas bon pour leur activité.
Les analystes de WebTitan ont leur avis concernant cette nouvelle mesure
Si vous avez envie d’acheter de manière proactive le nom de votre marque ou de votre entreprise en tant que domaine .xxx, vous pouvez considérer cela comme un bon investissement. Lorsqu’il s’agit de gestion de la réputation de votre marque sur le web, il est toujours utile de couvrir toutes les bases. Toutefois, n’oubliez pas que vous ne pourrez pas surveiller tous les coins d’Internet.
Bien que certains propriétaires de sites web de l’industrie du divertissement pour adultes enregistrent leurs sites en utilisant cette nouvelle extension, il est fort probable qu’ils conserveront encore leur domaine actuel afin de ne pas limiter leur audience. D’autres personnes aux intentions malveillantes, quant à elles, peuvent acheter d’autres noms de domaine pour faire en sorte que le site internet de votre marque apparaisse sur le web en .adult, .porn, .sex, etc., et arbore explicitement des contenus pour adultes.
En réalité, les utilisateurs finaux ne feront aucune différence en ce qui concerne la quantité de contenus pornographiques qu’ils peuvent visualiser en ligne, que le site utilise ce nouveau domaine ou non. Le fait de bloquer l’accès aux sites web avec le suffixe .xxx ne suffit pas pour empêcher vos employés de les consulter, sauf si de nouvelles lois sont adoptées afin de forcer tous les sites pornographiques à l’utiliser. Pour le moment, cette solution s’avère incroyablement difficile à réaliser.
Si vous voulez empêcher les utilisateurs d’accéder à des contenus pornographiques, la meilleure solution est d’utiliser un filtre web comme WebTitan.
Dans le passé, les filtres web ont été critiqués pour avoir surbloqué le contenu web. De nos jours, certains d’entre eux, comme WebTitan Cloud de TitanHQ, permettent un contrôle plus fin du contenu Internet grâce à des contrôles très granulaires. Ils peuvent bloquer l’accès à la pornographie et à d’autres catégories de contenu Internet en quelques clics de souris.
WebTitan Cloud comprend par exemple 53 catégories prédéfinies que vous pouvez utiliser pour filtrer le contenu Internet en quelques secondes une fois la solution implémentée. Il est facile à configurer et ne requiert aucun achat de matériel ni le téléchargement de logiciel. Il suffit de changer votre DNS pour qu’il pointe vers WebTitan et vous pourrez appliquer facilement le contrôle des contenus web.
Et vous, qu’en pensez-vous ? Allez-vous acheter le nom de votre marque ou de voire entreprise en tant que domaine .xxx ? Ou êtes-vous indifférent à cette évolution ?
FAQs
Quel risque représente le domaine .xxx pour les entreprises ?
Les cybercriminels peuvent tenter d’enregistrer des domaines .xxx liés à des marques connues. C’est pour cette raison que de nombreuses entreprises se demandent comment empêcher que leur marque soit associée à la pornographie ainsi qu’aux services de divertissement pour adultes.
Comment éviter que le site de votre marque ne devienne un site .xxx ?
Si vous êtes un propriétaire d’une marque qui a été associée à un nom de domaine .xxx sans votre consentement, vous pouvez bloquer ce nom de domaine en déposant une demande défensive auprès de l’Internet Corporation for Assigned Names and Numbers ou ICANN. Si la demande aboutit, le nom de domaine bloqué sera retiré de la réserve de noms de domaine .xxx disponibles. A noter que vous pouvez aussi acheter un nom de domaine .xxx simplement pour éviter qu’il soit piraté.
Cette nouvelle pratique n’accélère-t-elle pas la normalisation de la pornographie ?
En tout cas, c’est ce que pensent les militants des milieux religieux et conservateurs. Ces derniers ont déjà exercé un intense lobbying contre la création de ce genre de nom de domaine. Les défenseurs de cette nouvelle norme, quant à eux, avancent qu’elle permettra de mieux surveiller et de gérer les sites pour adultes.
Qui fixe les règles d’attribution et de gestion des noms de domaine .xxx ?
C’est la société ICM REGISTRY, l’organisation qui a lancé ce concept le 7 septembre 2011.
Combien coûte un nom de domaine avec l’extension .xxx ?
En général, il est difficile de définir précisément le prix d’achat d’un nom de domaine, car cela varie en fonction de l’extension. De toute façon, si vous êtes dans l’industrie de la pornographie, vous pouvez actuellement faire des comparaisons et opter pour d’autres suffixes comme .adult, .sex, .porn, etc. A noter seulement que, si le nom de domaine que vous souhaitez acheter est déjà réservé, son prix peut flamber.
Le système de noms de domaine (DNS) a été mis en place pour faciliter l’utilisation d’Internet. Il traduit les noms de domaine en adresses IP, lesquelles sont utilisées par les périphériques réseau. Le DNS vous permet d’utiliser http://www.google.com au lieu de http://74.125.224.72/ pour lancer une recherche.
Bref, c’est le principal service d’annuaire d’Internet.
Le DNS existe depuis longtemps et tous les ordinateurs connectés à Internet en dépendent. Les pirates l’utilisent désormais à des fins de reconnaissance interne et externe, notamment pour détourner le trafic et créer des canaux de communication secrets. Heureusement, si vous surveillez vos serveurs DNS et si vous appliquez des analyses de sécurité, bon nombre d’attaques cybercriminelles peuvent être détectées et déjouées.
Qu’est-ce qu’un DNS ?
En quelques mots, le DNS est un système distribué ancré par les serveurs de noms racine. En-dessous de celui-ci se trouve des zones DNS pouvant être constituées d’un ou plusieurs domaines (google.com, par exemple, est un domaine), c’est-à-dire un ensemble de serveurs de noms faisant autorité est attribué à chaque zone DNS.
Un serveur de noms faisant autorité (Authoritative Name Server) peut être soit un serveur maître, soit un serveur esclave. Un serveur maître stocke les copies originales des enregistrements de zone tandis qu’un serveur esclave conserve les copies des enregistrements maîtres.
Un serveur de noms faisant autorfité fournit une réponse réelle à toutes vos requêtes DNS comme l’adresse IP d’un serveur de messagerie ou l’adresse IP d’un site web. Mais, même si son rôle principal est de fournir des réponses définitives aux requêtes DNS, il peut également fournir les réponses qui ont été mises en cache par un autre serveur de noms de domaine. Cela dit, il ne renvoie donc que des réponses aux questions sur les noms de domaine ayant été installées dans son système de configuration.
Comme susmentionné, il existe deux types de serveurs de noms faisant autorité :
D’une part, il y a le serveur maître qui est également appelé serveur de noms primaires. Ce type de serveur stocke les copies originales de tous les enregistrements de zone. Il ne peut apporter aucune modification qu’aux enregistrements de zone au niveau du serveur principal.
D’autre part, il y a le serveur esclave ou serveur de nom secondaire. Un serveur esclave est la réplique exacte du serveur maître. Il a pour rôle de partager la charge du serveur DNS et d’améliorer la disponibilité de la zone DNS au cas où il y aurait une défaillance du serveur maître. Par conséquent, il est recommandé de disposer d’au moins 2 serveurs esclaves et d’un serveur maître pour chaque nom de domaine.
À noter que chaque serveur esclave est mis à jour par le biais d’un mécanisme spécial du protocole DNS.
Les défis en matière de gestion du DNS
Il existe plusieurs failles de sécurité et défis architecturaux inhérents à la conception originale du DNS pour les serveurs de noms externes.
La gestion est complexe
La plupart des administrateurs système reconnaissent l’importance des serveurs de noms externes. Cependant, une erreur ou une mauvaise configuration occasionnelle est inévitable, notamment à cause de la complexité de la gestion de la plupart des serveurs de noms.
Presque tous les administrateurs système d’un serveur de noms « BIND » qui est la marque préférée des serveurs de noms externes ont fait une erreur. Ils introduisent souvent une erreur de syntaxe dans un fichier de données de zone. C’est un risque similaire d’erreur humaine.
Le risque similaire d’erreur humaine est aussi élevé lorsque les administrateurs système utilisent de solutions non BIND, comme celles de Microsoft. Par contre, une erreur de syntaxe dans un fichier de données de zone qui est souvent passée inaperçue rend le serveur de noms incapable de charger cette zone. Elle permettra aux pirates de récolter des données anciennes.
Pire encore, une erreur de syntaxe dans le fichier de configuration du serveur de noms peut empêcher le serveur de noms de démarrer.
Vulnérabilités d’attaque
De nombreux administrateurs système ne prennent pas la précaution de configurer leurs DNS afin de traiter les requêtes récursives qui proviennent d’adresses IP internes, alors que c’est une opération facile à réaliser. Cela peut être dû au fait parce qu’ils ne savent pas comment faire. L’autre raison est qu’ils ne comprennent pas souvent les implications de laisser un serveur de noms externe ouvert aux requêtes récursives.
À titre d’exemple, il se peut qu’une vulnérabilité inhérente apparaisse lorsqu’un serveur de noms permet des requêtes récursives à partir d’une adresse IP arbitraire. Cette approche permet aux pirates de mener une attaque par empoisonnement du cache lors de laquelle ils peuvent inciter le serveur de noms à mettre en cache des données fabriquées. L’attaque la plus célèbre de ce type est celle menée par Eugene Kashpureff qui a empoisonné les caches de centaines de serveurs de noms Internet, les amenant à rediriger les utilisateurs qui accèdent à www.intemic.net.
L’adresse IP d’un serveur Web a été gérée par une organisation appelée AlterNIC
Il est difficile de surestimer les dégâts qu’une attaque via le DNS pourrait causer aujourd’hui. Un pirate informatique pourrait rediriger le trafic destiné à un site Web, par exemple celle d’une banque, vers un serveur Web qui contient une réplique du contenu du site et voler des mots de passe et des numéros de compte. Les pirates peuvent aussi siphonner le trafic destiné à un commerçant en ligne vers un site web identique. De cette manière, ils peuvent capturer les numéros de cartes de crédit.
Des mises à jour difficiles
Avec « BIND » et les serveurs de noms de Microsoft, la mise à niveau des logiciels vers une nouvelle version n’est pas facile. La mise à niveau implique au moins le téléchargement du nouveau code source, de le compiler et de le tester avant de l’installer.
Dans plusieurs cas, des incompatibilités avec les versions précédentes des logiciels obligent les administrateurs système à modifier les configurations ou les données ou à lire des données sensibles de votre entreprise.
Par conséquent, certains administrateurs système remettent à plus tard cette tâche cruciale, même si de nouvelles versions sont disponibles.
La mise à niveau des serveurs de noms lorsque de nouvelles versions sont publiées
Il est important de mettre à niveau les serveurs de noms, mais sachez que cela peut avoir des effets désastreux.
Quelques mois après la découverte d’un dépassement de tampon et corrigé dans un code, un virus appelé LiOn a exploité la vulnérabilité du DNS dans le but d’infecter des centaines de serveurs de noms sur Internet. Il a également installé un « rootkit » que l’auteur du virus- ou toute autre personne- peut utiliser.
L’auteur du virus- ou toute autre personne qui connait son fonctionnement- pouvait l’utiliser pour accéder à la racine de l’hôte infecté. Les pirates auraient pu modifier ou détruire la zone démilitarisée ; ou utiliser le serveur de noms pour pénétrer dans votre réseau.
Aujourd’hui encore, il est fort probable qu’il y ait toujours des serveurs de noms compromis pendant la propagation de LiOn, à l’insu des administrateurs système.
Les récentes attaques liées au DNS
Une récente étude menée par EfficientIP et IDC fait la lumière sur la fréquence des différents types d’attaques DNS et les coûts associés pendant la pandémie de COVID-19.
La sécurité des réseaux DNS peut être compromise
Au Royaume-Uni, les dommages qui découlent de chaque attaque ont connu une baisse marquée de 27 % par rapport à l’année précédente. Les dommages enregistrés en 2021 étaient de 596 083 euros, tandis que les dommages en 2020 étaient d’environ 819 024 euros.
En fait, il s’agit de la plus forte baisse au niveau mondial. Les entreprises britanniques qui ont participé à l’enquête ont signalé environ 5,78 attaques au cours de l’année écoulée, ce qui constitue aussi la moyenne la plus faible signalée. Le chiffre le plus élevé était de 7,74 au Canada.
En termes de dommages régionaux causés par les attaques DNS, l’Europe a subi une moyenne de 743 920 euros par attaque. Il s’agit d’une légère augmentation de 3 % par rapport à l’année précédente.
Au niveau mondial, 87 % des entreprises ont subi des attaques DNS, dont le coût moyen s’élève à 779 008 euros. Cela signifie que les entreprises — tous secteurs confondus — ont subi environ 7,6 attaques l’année dernière. Ces chiffres démontrent le rôle central du DNS pour la sécurité des réseaux en tant que vecteur de menace et objectif de sécurité.
Les attaquants ciblent de plus en plus le cloud
Pendant la pandémie du COVID-19, les pirates informatiques ciblent de plus en plus le cloud. Ils profitent de la dépendance à l’égard des infrastructures de travail hors site et de cloud.
Environ un quart des entreprises ont subi une attaque DNS, abusant d’une mauvaise configuration du cloud. 47 % d’entre elles ont signalé une interruption de leur service cloud à la suite de l’attaque.
Sécurité des réseaux DNS
Bien que le coût et la variété des attaques restent élevés, on constate une sensibilisation croissante à la sécurité des DNS et à la manière de les combattre.
Les administrateurs système considèrent la sécurité du DNS comme un élément essentiel de leur architecture réseau. Par contre, il est important ce considérer que la confiance zéro n’existe pas si vous voulez protéger votre réseau à l’ère de l’informatique à distance.
Les solutions considérées comme les plus efficaces par les entreprises pour le vol de données comprennent la sécurisation des points d’extrémité du réseau, la surveillance des menaces et l’analyse du trafic DNS.
Bien sûr, il est positif que les entreprises utilisent le DNS pour protéger leur personnel de plus en plus éloigné, mais les entreprises continuent de subir les impacts coûteux des attaques DNS.
Alors que les acteurs de la menace cherchent à diversifier leurs tactiques, vous devez continuer à être conscientes de la variété des menaces, en vous assurant que la sécurité DNS est une priorité essentielle afin de les prévenir.
Faire du DNS votre première ligne de défense
Le DNS offre des informations précieuses contre les attaques cybercriminelles potentielles qui sont actuellement sous-utilisées.
Selon Ronan David, vice-président de la stratégie chez EfficientIP, l’existence de la pandémie du Covid-19 nous a montré que le DNS est important si vous voulez mettre en place un système de sécurité efficace. Alors que les travailleurs cherchent à effectuer une transition plus permanente vers des sites hors site, en faisant appel à l’IoT, au cloud, à la périphérie et à la connexion 5G, les entreprises et les fournisseurs de télécommunications devraient se tourner vers le DNS pour mettre en place une stratégie de sécurité proactive. Cela permettra d’assurer la prévention des temps d’arrêt de votre réseau ou de vos applications, ainsi que la protection de votre entreprise contre le vol de données confidentielles et les pertes financières.
Le fonctionnement du DNS sécurisé
Lorsqu’un utilisateur veut accéder à une page web spécifique, il doit entrer l’adresse
de la page ou son nom DNS dans la barre d’adresse de son navigateur. Ensuite, ces informations sont envoyées aux serveurs DNS de leur fournisseur de services Internet (FAI) sous la forme d’une « requête DNS ». Chaque FAI possède une base de données de noms DNS et un répertoire d’adresses IP correspondantes. Si le serveur peut répondre à la requête initiale à l’aide de ce répertoire, il envoie alors une réponse « faisant autorité » à l’ordinateur de l’utilisateur pour qu’il puisse se connecter avec le site web.
Il est bien possible que l’annuaire du FAI ne puisse pas répondre à la requête DNS initiale avec une réponse « faisant autorité ». Dans ce cas, le serveur va vérifier son cache. Le cache d’un serveur comprend un enregistrement de toutes les requêtes précédentes. Si le serveur peut utiliser ces informations du cache pour répondre à l’utilisateur, il va tout de même répondre, mais avec une réponse « non autorisée ». Autrement dit, les informations qui sont fournies à l’utilisateur ne proviennent pas directement du répertoire de son FAI, mais d’un tiers.
Si malgré ces deux solutions, le serveur ne parvient pas encore à fournir une réponse à la requête, alors le processus de requête DNS va utiliser la récursivité. Cela signifie que l’enquête DNS du FAI de l’utilisateur va se servir des informations qu’il possède sur d’autres serveurs « faisant autorité » dans leurs fichiers racine pour contacter et obtenir les informations que l’utilisateur souhaite avoir. Une connexion peut alors être établie par le FAI et son serveur va stocker ces nouvelles informations dans sa mémoire cache pour que le serveur puisse y accéder lors des futures requêtes.
DNS pour IPv4
IPv4 est l’abréviation de « Internet Protocol version 4 », qui spécifie le format et le schéma de l’adresse IP utilisé sur votre réseau local (Local Area Network). Pour vous aider à comprendre ce que c’est de façon la plus simple, vous pouvez considérer l’IPv4 comme l’adresse d’un ordinateur, et chaque adresse est unique.
Pour IPv4, le DNS est le plus souvent étroitement intégré au protocole DHCP (Dynamic Host Configuration Protocol). DHCP fournit des adresses IP, des serveurs de noms DNS et d’autres informations aux périphériques d’un réseau privé ou public.
Ainsi, pour sécuriser le DNS, il faut également protéger le DHCP, et ce, grâce à l’utilisation de techniques telles que l’espionnage DHCP et la limitation du relais DHCP.
DNS pour IPv6
Considéré comme la version du protocole Internet (IP), l’IPv4 est le moyen le plus utilisé dans le monde. Pourtant, ses adresses IP disponibles sont épuisées. Ce protocole utilise 32 bits pour ses adresses Internet. Cela signifie qu’il ne peut prendre en charge qu’environ 4,29 milliards d’IP. Oui, cela peut sembler beaucoup, mais sachez que ces 4,29 milliards d’adresses ont déjà été attribués à diverses institutions.
Voici pourquoi IPv4 doit être remplacé par une autre solution, à savoir Internet Protocol version 6 ou tout simplement IPv6. Ce nouveau protocole Internet IPv6 a été créé au milieu des années 90 et il est déjà très utilisé par les organismes gouvernementaux américains. Cette alternative à IPv4 commence également à s’introduire progressivement à travers le monde.
Selon la configuration du réseau IPv6, le protocole DHCP peut fournir ou non des informations DNS.
Par exemple, l’autoconfiguration des adresses sans état (SLAAC) ne nécessite pas de serveur DHCPv6, car le message Router Advertisement (RA) fournit le nom du ou des serveurs DNS.
IPv6 est un système qui offre non seulement beaucoup plus d’adresses internet, mais il simplifie également l’attribution d’adresses et de fonctions de sécurité réseau supplémentaires.
Comment passer de IPv4 à IPv6 ?
La transition de IPv4 à IPv6 peut s’avérer difficile, car la plupart des gens ne sont pas familiers avec ces protocoles, et encore moins avec l’impact potentiel du passage à IPv6.
Heureusement, ces deux protocoles peuvent coexister au sein d’un réseau. Cela permet aux entreprises de passer facilement et progressivement de IPv4 à IPv6.
Pour ce faire, il faut une bonne programmation est un inventaire de l’infrastructure existante. Cette opération doit aussi inclure une liste de toutes les adresses IPv4 de votre infrastructure réseau ; une liste des adresses auxquelles elles sont référencées dans toutes les applications, ainsi qu’une liste de tous les mappages DNS. Grâce à l’inventaire, vous pourrez vérifier si votre fournisseur DNS externe actuel et les périphériques de votre infrastructure réseau peuvent prendre en charge IPv6.
Attaques DNS et protection DNS
Le DNS fait partie de l’infrastructure fonctionnelle et du cadre de confiance de l’Internet. Sans les noms de domaine, les énormes matériels, logiciels et applications internet des entreprises ne pourront être trouvés et accessibles par les utilisateurs.
Malheureusement, parce que le DNS constitue un élément clé de l’infrastructure, il est devenu un élément très ciblé par les pirates informatiques.
Les attaques de déni de service distribué (DDoS) ciblant le DNS sont un type spécifique d’attaque exposant les vulnérabilités du DNS.
Un white hat recherche un résolveur DNS ouvert et lance une attaque par Déni De Service Distribué (DDoS), soit contre le résolveur lui-même, soit contre d’autres systèmes. La cible reçoit une réponse DNS de partout sur Internet. Les réponses DNS peuvent ensuite être usurpées, ou créées avec de fausses informations, pour rediriger les utilisateurs de sites légitimes vers des sites web malveillants.
Qu’est-ce qu’une attaque DDoS ?
Une attaque DDoS implique la surcharge intentionnelle d’un dispositif, dans le but de rendre ce dispositif ou le service qu’il fournit inaccessible aux utilisateurs.
L’attaque DDoS utilise trois éléments : le spoofing, la réflexion et l’amplification. En réalité, le but des pirates informatiques est de saturer un serveur de noms à travers de nombreux résolveurs DNS ouverts et en utilisant des botnets.
Le spoofing consiste à envoyer un grand nombre de requêtes à des dizaines de milliers de serveurs DNS où l’adresse IP source est spoofée vers le ou les serveurs DNS de l’organisation ciblée. Ensuite, ces serveurs reflètent l’attaque depuis la source vers la cible. Enfin, l’amplification intervient lorsque le serveur réfléchissant répond à la requête relativement petite avec une réponse beaucoup plus grande.
Dans le cas du DNS, le problème est aggravé parce qu’une très petite requête – de moins de 100 octets – peut être amplifiée jusqu’à 50 fois (ou plus) pour générer des milliers d’octets en réponse.
À elle seule, cette forme d’attaque ne tente pas d’accéder aux données d’une organisation. Pourtant, elle peut être utilisée à des fins malveillantes par des pirates informatiques pour empêcher l’accès à certaines ressources ou inhiber certains services fournis par le système ciblé.
Les attaques DDoS ne cessent d’augmenter dans le monde entier. L’une des plus importantes attaques jamais réalisées s’est produite contre les serveurs Dyn DNS en octobre 2016. Les pirates ont utilisé des dispositifs IoT (internet des objets) pour générer jusqu’à 1 téraoctet de trafic. Selon le Worldwide Infrastructure Security Report (WISR), un tiers des opérateurs DNS ont signalé une attaque de ce genre qui ont affecté leurs clients.
Attaque DNS Spamhaus en 2013
L’énormité d’une attaque DDoS est époustouflante. Prenons pour exemple celle qui a été menée en mars 2013 contre Spamhaus, une organisation internationale non gouvernementale basée à Genève et à Londres.
L’attaque a commencé avec une requête DNS avec une adresse IP bidon, mais elle a rapidement pris de l’ampleur pour deux raisons.
Premièrement, la taille du paquet de réponses envoyé par le résolveur DNS est souvent plusieurs fois supérieure à celle du paquet de requêtes. Deuxièmement, le nombre de réponses DNS générées augmente exponentiellement à mesure que le nombre de serveurs participant augmente.
Selon Spamhaus, plus de 30 000 résolveurs DNS ont initialement participé à l’augmentation du flux de réponses DNS.
Si une grande quantité de trafic est reçue d’une adresse IP, la sécurité peut être configurée pour limiter les paquets provenant de cette adresse.
Mais pour l’incident de Spamhaus, les attaquants ont utilisé un grand nombre d’adresses IP différentes. Par conséquent, le nombre de réponses DNS de chaque adresse IP individuelle n’a pas déclenché le mécanisme de limitation de paquets.
Détournement du DNS & sécurité des serveurs
Cette attaque est très facile à comprendre, comparée au spoofing. Elle consiste à changer complètement vos paramètres DNS, de sorte que toutes les requêtes de votre trafic Internet puissent être dirigées vers un serveur DNS malveillant. De ce fait, les résultats que vous recevrez – notamment les sites web que vous verrez dans votre navigateur – seront tous très probablement infectés ou corrompus.
Le fait que l’attaque est plus facile à comprendre ne signifie pas pour autant qu’elle est facile à détecter. En réalité, les pirates utilisent des chevaux de Troie spécifiquement conçus pour modifier les paramètres du DNS.
Pour que cette menace réussisse, les pirates doivent passer par une étape préliminaire, où les ordinateurs vont être affectés par des botnet qui donnent aux attaquants le contrôle du système.
Une autre façon de détourner les DNS consiste à modifier le comportement d’un serveur DNS de confiance, de telle sorte qu’il paraisse plus conforme aux standards Internet.
Dans les deux cas, le résultat reste toutefois le même, c’est-à-dire que les victimes se verront livrer toujours des sites web malveillants via lesquels des campagnes de pharming ou de phishing peuvent être lancées.
Identification du trafic DNS malveillant
Le DNS peut utiliser les protocoles TCP ou UDP. Le trafic sur le port TCP 53 représente souvent des transferts de zone pour garder les serveurs esclaves en synchronisation avec le fichier de zone maître. Toutefois, des intrus peuvent utiliser ce mécanisme pour télécharger le contenu du fichier de zone d’un serveur de noms. Pour éviter cela, les administrateurs doivent bloquer les demandes de transfert de zone à partir de tout périphérique autre que le serveur de noms esclave autorisé.
Comme tout autre port, le port 53 peut être utilisé en guise de tunnel de trafic non autorisé. Méfiez-vous donc si Wireshark signale des paquets « malformés » ou demandant des « opérations inconnues ».
À quoi ressemble le trafic malveillant ?
Pour comprendre la différence entre trafic malveillant et trafic bénin, vous devez d’abord comprendre la manière générale dont les malwares ciblent le DNS. Ces derniers utilisent généralement les algorithmes de génération de domaine (DGA) ou le DNS tunneling/C2.
Les DGA se produisent lorsqu’un malware communique avec un domaine généré de manière algorithmique plutôt que de faire cela avec un domaine C2 codé en dur. Ces domaines ont un aspect distinct et intègrent souvent des chaînes de caractères aléatoires. À noter que les DGA ne font que générer des domaines d’apparence aléatoire. Certains algorithmes peuvent aussi utiliser des mots du dictionnaire informatique pour rendre les domaines moins suspects.
Pour les auteurs de malware, le grand avantage de l’utilisation de la DGA est que, lorsqu’un seul domaine est en cours d’arrêt, cela ne signifie pas qu’ils ont perdu le contrôle de leur malware. Si les défenseurs tentent d’éteindre les malwares en mettant des noms de domaines sur une liste noire, ils auront plus de mal à le faire puisque les pirates peuvent contourner facilement ce système de défense.
Quant au DNS tunneling, cette forme d’atteinte à la sécurité utilise le DNS lui-même pour le transfert de données. Cette forme de cyberattaque code les données d’autres programmes ou protocoles dans les requêtes et les réponses DNS. Elle inclut souvent des données utiles qui peuvent être ajoutées au serveur DNS ciblé et utilisées pour contrôler un serveur distant et ses applications.
Parmi les récentes attaques de DNS tunneling, on peut citer celles menées par le groupe DarkHydrus en 2018 – ciblant des entités gouvernementales au Moyen-Orient – et OilRig qui opère depuis 2016 et est toujours en activité.
Apparence bénigne, mais suspecte
Ces deux techniques de cyberattaques devraient être suffisamment distinctes pour que les professionnels de l’informatique puissent les éviter. Mais il faut aussi noter qu’il existe un certain nombre de logiciels légitimes qui se comportent de la même manière.
Prenons l’exemple de Google Chrome. Au démarrage, ce navigateur interroge 3 domaines aléatoires. Ce comportement est nécessaire pour assurer le bon fonctionnement de l’Omnibox pour certains types de requêtes. Pourtant, ce mode de fonctionnement peut paraître très suspect pour la solution de sécurité de votre réseau.
Pour différencier ce trafic bénin du trafic malveillant réel, vous devez savoir que les domaines générés par Chrome n’incluront que les domaines racine qui figurent dans votre liste de suffixes DNS par défaut.
Une autre catégorie courante de trafic suspect, mais finalement bénin, est celle des logiciels de protection des terminaux qui communiquent avec leur infrastructure. Par exemple, Sophos Extensible List peut créer un certain nombre de requêtes différentes pour sophosxl.net. Il existe une variété de raisons différentes de faire cela, y compris les recherches de réputation IP et les vérifications de latence de la transmission des données. Nous avons vu McAfee et Cymru utiliser ce genre de méthode pour leurs systèmes DNS.
Ce trafic peut ressembler au tunneling DNS, car il utilise essentiellement le DNS de la même manière que les malwares. Pourtant, comme le domaine racine est celui d’un fournisseur connu et qui est déployé sur votre réseau, ce trafic est bénin, même si des recherches fondamentales et des analyses de l’infrastructure du domaine soient encore recommandées pour le confirmer.
Le DNS peut protéger votre réseau
Le DNS est essentiel pour rendre possible toute communication en réseau. Il semble être un outil qui travaille de manière invisible jusqu’à ce que quelque chose tourne mal. Si le service DNS tombe en panne, alors plus rien ne fonctionnera donc sur votre réseau.
Mais comment le filtrage DNS contribue-t-il à bloquer les malwares, les attaques de phishing et bien d’autres menaces en ligne ?
Bloquer les sites web malveillants
Un site web hébergeant un malware peut soit tenter de tromper les utilisateurs afin de les inciter à télécharger un programme malveillant, soit effectuer un téléchargement du type « drive-by », c’est-à-dire en téléchargeant automatiquement un malware lorsqu’une page web malveillante se charge.
D’autres types d’attaques sont également possibles. Par exemple, les pirates peuvent utiliser des pages web contenant un code JavaScript. JavaScript est un langage de programmation complet et il peut donc être utilisé de différentes façons pour compromettre les appareils de vos employés et votre réseau informatique.
Le filtrage DNS peut empêcher les utilisateurs de charger des sites web malveillants et prévenir ce type d’attaque.
Bloquer les sites de phishing
Pour mener leur campagne de phishing, les pirates utilisent un faux site web via lequel ils peuvent voler vos identifiants de connexion. Ils utilisent un domaine usurpé ou simplement un domaine qui semble officiel que la plupart de vos employés ne penseront pas à remettre en question.
Quelle que soit la méthode utilisée, l’objectif reste le même : tromper les utilisateurs et les inciter à divulguer leurs identifiants de connexion aux attaquants. Ces sites web peuvent également être bloqués si vous utilisez un filtre DNS.
Les capacités du filtre DNS à bloquer ces sites malveillants sont basées sur le fait que le système de filtrage sache identifier le plus d’adresses IP ou de domaines malveillants possible comme étant mauvais. Attention toutefois, car une fois que le filtre DNS parvient à identifier un site comme malveillant, les attaquants peuvent générer très rapidement de nouveaux domaines pour mener leurs campagnes de phishing. Autrement dit, il n’est pas possible de bloquer tous les sites de phishing uniquement avec un filtre DNS.
Bloquer les contenus interdits
Il est possible de restreindre l’accès à certains types de contenus grâce au filtre DNS. Le processus est similaire à celui décrit ci-dessus, c’est-à-dire que le filtre va bloquer les noms de domaine et les adresses IP connus pour héberger des contenus interdits. Mais vous pouvez aussi ajouter des sites web que vous avez approuvés à une liste d’autorisation. Dans ce cas, le filtre DNS ne bloquera que les sites web inappropriés pour le travail ou qui représentent une menace pour votre organisation.
Prévenir ou empêcher une attaque DNS ?
Le DNS peut être configuré pour atténuer les problèmes de sécurité DNS courants. Selon le projet Open Resolver, « les résolveurs ouverts représentent une menace importante pour l’infrastructure réseau globale ».
Empêchez votre serveur DNS d’être un résolveur ouvert, répondant aux requêtes DNS de n’importe quelle adresse sur Internet. Limitez les serveurs récursifs internes aux sous-réseaux IP utilisés par votre entreprise.
Gardez cependant à l’esprit que de nombreux (sinon la plupart des) résolveurs DNS sur Internet sont ouverts, soit parce qu’ils n’ont pas été sécurisés, soit parce qu’ils sont destinés à être ouverts au public, comme le service Comodo. Pour tester votre adresse IP pour détecter les résolveurs ouverts, consultez http://www.thinkbroadband.com/tools/dnscheck.html.
Bien qu’il n’existe aucun moyen sûr d’empêcher une attaque DNS, les mesures suivantes peuvent minimiser les risques :
Le blocage DNS utilisé pour la sécurité contre le phishing et le spam peut aider à prévenir les attaques DNS. Ce mécanisme empêche les entités de localiser des domaines ou des sites Web spécifiques et malveillants sur Internet.
Configurez vos serveurs DNS faisant autorité pour utiliser la limitation du taux de réponse DNS.
Le trafic DNS doit être limité en fonction du type de paquet DNS. Par exemple, une réponse de transfert de zone aurait un seuil plus élevé qu’une réponse pour le nom du serveur DNS.
Travaillez avec votre fournisseur d’accès Internet pour bloquer ou limiter le trafic que vous ne voulez pas sur votre réseau, si possible.
Surveillez votre réseau, en particulier les adresses IP des clients qui utilisent le plus de bande passante.
La fermeture des résolveurs ouverts et l’utilisation du blocage DNS ne peuvent pas protéger contre l’usurpation d’identité des paquets. Ainsi, Google déclare que votre site doit être équipé pour faire face à une charge accrue occasionnée par une attaque. Il vous faudra un filtre pour les cycles de bande passante et de processeur ainsi qu’une capacité générale d’équilibrer la charge.
Utilisez le filtre DNS WebTitan pour mieux sécuriser votre réseau
Le filtre DNS WebTitan est une couche de protection tierce qui permet de protéger en temps réel votre réseau contre les menaces en ligne comme les virus, les malwares, les ransomwares, le phishing et les botnets. Voici les principales caractéristiques de ce service basé dans le cloud :
Filtrage des URL avec une catégorisation en temps réel de plus de 500 millions de sites web.
Des clés cloud qui permettent aux administrateurs réseau de créer facilement des exceptions aux politiques de l’utilisation de l’internet sans avoir à les modifier.
Un système de filtrage complet avec plus de 53 catégories personnalisables.
Une grande protection contre les menaces en ligne grâce à l’utilisation d’une liste noire de DNS et d’URL malveillants.
Une plate-forme en ligne facile à mettre en place et à utiliser.
Suite complète de plus de 50 rapports prédéfinis avec de multiples options de programmation et d’exportation.
Visibilité en temps réel des activités de navigation de tous les utilisateurs du réseau de l’entreprise.
Un système basé dans le cloud, offrant un filtrage pour tous les utilisateurs, même ceux qui travaillent à distance.
Bref, ce filtre DNS est conçu pour faire de l’internet un endroit plus sûr et plus sécurisé pour vous et vos employés.
En résumé
Face à la recrudescence des menaces en ligne, le DNS peut offrir une couche de protection supplémentaire entre vos employés et l’internet. Pour ce faire, il met sur liste noire les sites malveillants et filtre les contenus indésirables. Utilisez des serveurs DNS sécurisés pour vos employés de bureau et les travailleurs distants et vous éviterez les risques inutiles d’attaques malveillantes.
Le système de noms de domaine reste un outil essentiel pour le bon fonctionnement de l’internet, mais sachez qu’une attaque contre le DNS peut avoir de graves conséquences. L’important est d’être toujours conscient des menaces en ligne et d’adopter les mesures nécessaires pour prévenir les éventuelles attaques. Si un pirate s’en prend à votre organisation et que vous subissez des dommages, vous devrez aussi être en mesure de les atténuer.
Redirigez vos requêtes DNS vers WebTitan Cloud. Il s’agit d’une puissante solution de filtrage de contenu 100 % basée dans le cloud et qui vous permet d’empêcher vos employés d’accéder à des pages web inappropriées via votre réseau, et de contrôler soigneusement l’accès aux applications web.
WebTitan Cloud est conçu pour être rapide et facile à mettre en œuvre et à gérer. Cette solution de filtrage DNS est évolutive et a été conçue pour répondre aux besoins de la majorité des fournisseurs de services gérés et des petites et moyennes entreprises. Elle est universellement compatible avec vos systèmes d’exploitation et peut être configuré pour répondre aux besoins de votre organisation par le biais d’une interface web, accessible depuis n’importe quel dispositif connecté à Internet.
Pour plus de détails sur WebTitan et sur la protection de votre entreprise contre les attaques DNS, contactez TitanHQ dès maintenant.
DNS FAQ
Qu’est-ce que le DNS ?
Le système de noms de domaine, ou DNS, est comme l’annuaire téléphonique de l’Internet. Il fonctionne en traduisant votre URL en utilisant la langue des ordinateurs. Cette langue, c’est-à-dire les adresses IP, est constituée d’une suite de chiffres du type 105.136.182.205.
Pour un simple internaute, il serait difficile de mémoriser ces chiffres pour chaque site qu’il visite. C’est pour cela qu’il lui faut le DNS. C’est un système qui peut traduire ces chiffres dans des noms communs pour qu’il le reconnaisse, comme Google.com.
Qu’est-ce que le filtrage DNS ?
Le filtrage DNS est une pratique consistant à bloquer l’accès à certains sites dans un but précis, dans la plupart des cas via un filtrage basé sur le contenu. Plus précisément, si un site (ou une catégorie de sites) représente une menace, son adresse IP sera instantanément bloquée par votre filtre DNS, c’est-à-dire que vos employés ne pourront pas accéder à ce site.
Parmi les sites qui sont susceptibles d’être bloqués, on compte par exemple les sites pour adultes ; les sites de jeu et toute autre plateforme en ligne qui peut présenter un risque important, comme ceux pouvant télécharger des malwares.
Comment le DNS est-il utilisé par les pirates informatiques ?
Un pirate informatique cherche toujours à trouver un moyen de faire en sorte qu’un site web signale la mauvaise adresse IP. Lorsque cela est fait, toute personne, comme vos employés, peut essayer d’accéder au site web en question. Ensuite, ils seront redirigés vers un faux site web.
Les cybercriminels peuvent également placer de fausses informations dans le cache d’un serveur. Ils y parviennent en attribuant à une demande d’information à une fausse réponse en utilisant une adresse IP source truquée.
Une fois que la fausse réponse revient, elle sera toujours mise en cache. Les pirates profitent ensuite de cette option pour répondre à toutes les demandes d’information jusqu’à ce que l’information soit considérée comme légitime et pour qu’ils puissent télécharger leur charge utile.
Pourquoi utiliser un filtre DNS ?
Un autre avantage de l’utilisation d’un filtrage DNS pour les entreprises est l’augmentation de la productivité de leur personnel. Par exemple, les sites de streaming peer-to-peer peuvent saper la bande passante, mais cela constitue également une source de téléchargement de malwares et peut saper la bande passante, outre le fait de distraire les travailleurs
Il suffit pourtant d’appliquer des politiques de filtrage DNS pour empêcher vos employés de visiter ces sites et de mieux contrôler leurs réseaux informatiques.
Un filtre DNS est-il suffisant pour vous mettre à l’abri des menaces cybercriminelles ?
Un serveur DNS sécurisé peut bloquer les sites web malveillants ou interdire leur consultation. Il faut également noter que certains serveurs DNS sécurisés peuvent offrir une confidentialité accrue pour protéger les données des utilisateurs.
Outre le filtrage DNS, vous pouvez aussi adopter d’autres moyens si vous voulez rendre votre processus DNS plus sûr. Il est par exemple possible d’appliquer le protocole DNSSEC qui permet de vérifier que les résolveurs DNS et qui fournit des informations exactes concernant les éventuelles attaques cybercriminelles.
Vous pouvez aussi utiliser les protocoles DNS DoT et DoH pour chiffrer les requêtes et les réponses DNS pour que les pirates ne puissent pas traquer les requêtes DNS de l’un de vos employés et pour suivre leurs activités en ligne.
Deux failles d’authentification factorielle ont été identifiées. Elles permettaient aux pirates d’accéder aux comptes même s’ils étaient protégés par un mot de passe et par un second facteur d’authentification.
L’authentification à deux facteurs (2FA) est une protection importante pour sécuriser les comptes. Dans le cas où les informations d’identification sont devinées ou obtenues d’une autre manière par un tiers, une méthode d’authentification supplémentaire est nécessaire pour avoir accès à un compte.
Sans ce deuxième facteur, l’accès devrait être bloqué, mais ce n’est pas toujours le cas. De multiples failles d’authentification à deux facteurs ont été identifiées.
Deux failles d’authentification de facteurs exploitées dans les cyberattaques de Reddit, LinkedIn et Yahoo
L’authentification à deux facteurs n’est pas infaillible.
Récemment, Reddit a révélé avoir subi une fuite de données même si l’authentification à deux facteurs avait été mise en œuvre. Plutôt que d’utiliser un jeton d’authentification, Reddit a utilisé les messages SMS envoyés à un téléphone mobile appartenant au titulaire du compte comme deuxième facteur d’authentification.
Comme Reddit l’a découvert, les messages SMS 2FA pouvaient être interceptés par l’attaquant, ce qui lui a permis d’accéder au compte d’un employé ainsi qu’à une ancienne base de données d’identifiants utilisateur.
L’authentification à deux facteurs était également mise en place par Yahoo en 2013, mais l’entreprise a tout de même subi une violation massive de données. Résultat : les pirates informatiques ont pu obtenir des les informations sur trois milliards d’utilisateurs.
Il y a un an, il y a encore eu une violation massive de 167 millions de données d’enregistrement chez LinkedIn, lequel avait également mis en œuvre l’authentification à deux facteurs.
Un appel téléphonique ou un message texte envoyé à un téléphone appartenant au titulaire du compte n’empêche pas nécessairement un tiers d’avoir accès au compte. Au mois d’août de l’année dernière, un investisseur de Bitcoin s’est fait voler 150 000$ de cryptomonnaie dans son portefeuille après qu’un tiers y ait eu accès.
Dans cette affaire, le numéro de téléphone du deuxième facteur de l’investisseur avait été redirigé vers un appareil appartenant à l’agresseur après que la compagnie de téléphone eut été dupée.
Tout deuxième facteur qui utilise le système téléphonique de messages SMS fournit une couche supplémentaire de protection, mais il n’est pas suffisant pour se protéger contre un hacker qualifié et déterminé.
Deux failles d’authentification à deux facteurs ont été découvertes dans Active Directory Federation Services de Microsoft
Une vulnérabilité majeure d’authentification à deux facteurs a récemment été découverte par un chercheur en sécurité chez Okta.
Okta, comme de nombreuses entreprises, utilise Active Directory Federation Services (ADFS) de Microsoft pour fournir une authentification multifactorielle.
Andrew Lee, chercheur en sécurité chez Okta, a découvert que le système présentait une vulnérabilité grave qui n’était pas seulement facile à exploiter, mais qui rendrait les contrôles d’authentification multifactorielle d’une organisation pratiquement inutile.
Andrew Lee a découvert qu’une personne possédant un nom d’utilisateur, un mot de passe et un jeton d’authentification valide à deux facteurs pour un compte pouvait utiliser le même jeton pour accéder à tout autre compte de l’organisation dans AD avec seulement un nom d’utilisateur et un mot de passe.
Tout employé à qui l’on a donné un compte et qui a spécifié son propre deuxième facteur peut l’utiliser pour accéder à d’autres comptes. En effet, le jeton d’authentification constituait une sorte de carte-clé d’un hôtel qui peut ouvrir toutes les chambres de l’hôtel.
Pour obtenir les identifiants de connexion d’un autre employé, il suffit d’une campagne de phishing. Si la personne répondait et divulguait ses titres de compétences, on pourrait accéder à son compte sans avoir besoin d’un deuxième facteur.
La vulnérabilité en question — qui a été corrigée par Microsoft le 14 août dans ses mises à jour lors du Patch Tuesday du mois d’août — était présente dans la façon dont l’ADFA (Australian Defence Force Academy) communiquait. Lorsqu’un utilisateur tentait de se connecter, un journal de contexte chiffré a été envoyé par le serveur qui contient le deuxième jeton d’authentification, mais pas le nom d’utilisateur.
Cette faille pouvant être exploitée pour faire croire au système que le bon jeton avait été fourni. En effet, aucune vérification n’a été faite pour déterminer si le bon jeton avait été fourni pour le compte d’un utilisateur spécifique. Tant qu’un nom d’utilisateur, un mot de passe et un jeton 2FA valides ont été obtenus, le système 2FA peut être contourné.
L’authentification à deux facteurs n’est pas suffisante
Ces deux failles d’authentification factorielle montrent que si l’authentification à deux facteurs est un contrôle important à mettre en œuvre, les entreprises ne doivent pas compter sur ce système pour empêcher l’accès non autorisé aux comptes. Il est peu probable que les failles d’authentification à deux facteurs que l’on vient d’examiner soient les dernières à être découvertes.
L’authentification à deux facteurs ne devrait être qu’un moyen de défense parmi tant d’autres qu’une organisation peut utiliser contre le phishing et le piratage. Comme il existe d’autres moyens plus fiables comme les filtres antispam, les filtres Web, les pare-feu, les systèmes de détection d’intrusion, les solutions antivirus, la segmentation des réseaux et la formation des employés à la sécurité, la 2FA ne devrait plus être considérée comme une solution miracle pour empêcher l’accès non autorisé à un compte.
La formation de sensibilisation à la sécurité dispensée aux employés aide à éradiquer les comportements à risque qui pourraient mener à un compromis au sein du réseau informatique.
Les programmes de formation devraient couvrir toutes les principales menaces auxquelles votre entreprise est confrontée, y compris les attaques sur le web, les e-mails de phishing, les malwares et les escroqueries d’ingénierie sociale par téléphone, par messagerie texte ou par les médias sociaux.
Trop souvent, les entreprises se concentrent sur la sécurisation du périmètre réseau à l’aide de pare-feu, en déployant des solutions antimalware avancées et en mettant en œuvre d’autres contrôles technologiques tels que les filtres anti-spam et les systèmes de protection des terminaux.
Par contre, elles n’offrent pas de formation efficace en matière de sécurité à leurs employés. Et même lorsque des programmes de sensibilisation à la sécurité sont élaborés, les entreprises optent souvent pour une séance de formation en salle qui se déroule une fois par an. Les employés peuvent donc rapidement les oublier.
Si vous considérez que la formation de sensibilisation à la sécurité pour les employés est un élément à cocher une fois par an et qui doit être réalisé pour s’assurer tout simplement de la conformité vis-à-vis des réglementations du secteur, il y a de fortes chances que votre formation n’aura pas été efficace.
Le paysage des menaces cybercriminelles évolue rapidement. Celles-ci changent souvent de tactique et développent de nouvelles méthodes pour attaquer les organisations.
Si votre programme de sécurité n’intègre pas ces nouvelles méthodes d’attaque et que vous ne fournissez pas de cours de recyclage de sensibilisation à la sécurité à vos employés tout au long de l’année, ils seront plus susceptibles de tomber dans une escroquerie ou de s’engager dans des actions qui menacent la sécurité de vos données et l’intégrité de votre réseau.
De nombreuses entreprises n’offrent pas de formation efficace de sensibilisation à la sécurité à leurs employés
Une étude récente a mis en évidence l’inefficacité de nombreux programmes de formation à la sensibilisation à la sécurité. Positive Technologies a mené une étude sur le phishing et sur l’ingénierie sociale auprès de dix organisations afin de déterminer l’efficacité de leurs programmes de sensibilisation concernant la sécurité et la vulnérabilité des employés vis-à-vis des escroqueries les plus courantes par e-mails.
Il s’agit notamment des e-mails comportant des pièces jointes potentiellement malveillantes, des e-mails comportant des hyperliens vers des sites web où l’employé devait entrer ses renseignements d’ouverture de session, et des e-mails contenant des pièces jointes et des liens vers un site web.
Bien qu’aucun de ces e-mails ne soit de nature malveillante, ils reflétaient des scénarios d’attaque réels.
27% des employés ont répondu aux e-mails avec un lien qui leur demandait d’entrer leurs identifiants de connexion. 15% ont répondu aux e-mails avec des liens et des pièces jointes, et 7% ont répondu aux e-mails avec des pièces jointes.
Même une entreprise comptant 100 employés pourrait voir plusieurs comptes de messagerie compromis par une seule campagne de phishing ou télécharger de logiciels de ransomware. En réalité, le coût de l’atténuation des attaques cybercriminelles est considérable. Prenons l’exemple de l’attaque de ransomware récente menée contre la ville d’Atlanta. Selon Channel 2 Action News, la résolution de l’attaque a coûté 2,7 millions de dollars à la ville.
L’étude a révélé un manque de sensibilisation à la sécurité dans chaque organisation. Alors que les employés représentaient la plus grande menace à la sécurité du réseau, représentant 31% de toutes les personnes ayant répondu aux e-mails. 25% étaient des superviseurs d’équipe qui auraient des privilèges élevés.
19% étaient des comptables, des employés administratifs ou des employés du département des finances, dont les ordinateurs et les identifiants de connexion seraient beaucoup plus précieux pour les attaquants. Les gestionnaires des ministères représentaient 13% des répondants.
Même le département informatique n’était pas à l’abri des menaces. Bien qu’il n’y ait peut-être pas eu un manque de sensibilisation à la sécurité, 9% des répondants étaient dans les départements informatiques et 3% dans la sécurité de l’information.
Pour garantir la sécurité informatique, l’étude souligne qu’il est important non seulement d’offrir une formation de sensibilisation aux employés, mais aussi de tester l’efficacité de la formation et de s’assurer qu’elle est continue, et pas seulement une fois par an.
Conseils pour l’élaboration de programmes efficaces de sensibilisation à la sécurité des employés
Les programmes de sensibilisation à la sécurité des employés peuvent réduire la vulnérabilité aux attaques par phishing et à d’autres menaces par e-mail et sur le web.
Si vous voulez améliorer la sécurité de votre réseau informatique, vous devriez tenir compte des éléments suivants lorsque vous allez élaborer une formation de sensibilisation pour vos employés :
Créez un point de référence par rapport auquel l’efficacité de votre formation pourra être mesurée. Effectuez des simulations de phishing et déterminez le niveau global de sensibilité et les départements les plus à risque.
Offrez une séance de formation en salle une fois par an, qui explique l’importance de la sensibilisation à la sécurité et qui traite les menaces dont les employés devraient être conscients.
Utilisez des séances de formation informatisées tout au long de l’année et assurez-vous que tous vos employés en bénéficient. Toute personne ayant accès à la messagerie électronique ou au réseau devrait recevoir une formation générale – avec des sessions de formation spécifiques à l’emploi et au département – pour qu’elle puisse éviter les menaces spécifiques.
La formation devrait être suivie d’autres simulations de phishing et d’ingénierie sociale pour déterminer l’efficacité de la formation. Un échec de la simulation de phishing devrait être considéré comme une nouvelle opportunité de formation pour vos employés. Si ces derniers continuent d’échouer, réévaluez le style de formation que vous leur offrez.
Utilisez différentes méthodes de formation pour favoriser la rétention des connaissances.
Rappelez à vos employés l’importance de la sécurité informatique, et ce, grâce à des bulletins d’information, des affiches, des jeux-questionnaires et des jeux.
Mettez en place un système de signalement en un seul clic pour permettre à vos employés de signaler les e-mails potentiellement suspects à leurs équipes de sécurité.
Celles-ci pourront donc prendre rapidement des mesures pour supprimer toutes les occurrences de ces e-mails dans les boîtes de réception de l’entreprise.
La sécurité des applications web est devenue un enjeu majeur non seulement pour les entreprises, mais aussi pour les particuliers. Beaucoup de services fonctionnent actuellement grâce aux technologies web et il est essentiel de comprendre les risques qui y sont liés.
Dans ce dossier, nous passerons en revue quelques principes simples que vous pouvez utiliser pour assurer la sécurité des applications web. Vous apprendrez quelques bonnes pratiques de sécurité en matière de développement des applications web afin de garantir la confidentialité, la disponibilité et l’intégrité de vos données.
Plus précisément, nous allons parler de l’OWASP qui a publié les 10 risques les plus critiques pour la sécurité des applications. C’est parti !
Introduction
Imaginez un instant la quantité de données personnelles que les applications web traitent aujourd’hui.
Les utilisateurs interagissent en permanence avec les applications logicielles relatives aux transactions dans le domaine de la santé, de la banque et du commerce de détail.
Presque toutes les grandes entreprises et organisations qui traitent des données de grande valeur disposent aujourd’hui d’une application web. De plus, l’infrastructure qui supporte les nouveaux sites web basés sur les applications d’aujourd’hui est devenue très complexe.
De nos jours, ces sites sont généralement structurés en trois niveaux :
Le niveau client est le premier niveau
Un moteur utilisant une technologie de contenu web dynamique est le niveau intermédiaire
Une base de données est le troisième niveau.
Cette architecture de type multiniveaux signifie qu’en plus du modèle de trafic Nord-Sud, qui va de l’utilisateur et vers le niveau du client (le serveur HTML frontal), le site crée également un grand volume de trafic Est-Ouest entre les multiples serveurs résidant dans des niveaux séparés.
Cette autoroute supplémentaire et la complexité accrue de sa conception rendent la cybersécurité beaucoup plus difficile.
Ajoutez à cela le rythme rapide des processus de développement des logiciels et l’intégration des opérations de développement et vous allez rapidement reconnaître les défis en matière de sécurisation des applications web d’aujourd’hui.
L’OWASP, une référence en matière de développement d’applications web
L’Open web Application Security Project (OWASP) est une communauté ouverte dont la mission est de permettre aux entreprises de développer, acheter et maintenir des applications et des interfaces de programmation applicative (API) plus fiables.
L’insécurité des logiciels entrave non seulement la confiance des utilisateurs, mais aussi la sécurité de notre pays lorsqu’il concerne le secteur industriel, celui de l’énergie et de la défense. En 2003, l’OWASP a publié les principaux risques de sécurité des applications les plus répandues à l’époque.
L’objectif était d’identifier les principales tactiques utilisées par les pirates pour infiltrer et compromettre les données dans les applications web.
Les projets de l’OWASP
L’OWASP recense un nombre important de projets disponibles en accès libre. Le champ d’application de ces projets est très varié, mais il est toujours en lien avec la sécurité web.
Parmi ces champs d’application, on y retrouve des listes et des guides tels que ceux que nous allons vous présenter, mais aussi des logiciels qui permettent de rechercher des vulnérabilités sur une application web (OWASP O-Saft, OWASP SQLiX, OWASP JHijack, OWASP webScarab, et bien d’autres).
Voici 4 projets populaires que vous devez savoir à propos de l’OWASP :
OWASP web security testing guide
Le projet web Security Testing Guide (WSTG) est un guide complet qui permet aux développeurs de tester la sécurité de leurs applications. C’est une sorte de superchecklist que les développeurs peuvent utiliser pour effectuer des tests de sécurité web.
Ce guide est une référence en matière de tests de sécurité, car il est très complet et est fourni avec un ensemble de bonnes pratiques qui ont été déjà utilisées par de nombreuses organisations dans le monde entier. Il est constamment mis à jour par des bénévoles de l’OWASP et d’autres professionnels de la cybersécurité.
OWASP mobile Top 10
L’OWASP ne se concentre pas seulement sur la sécurité des applications. L’organisation travaille plus largement sur la sécurité des technologies web en général. Mais suite au succès de l’OWASP Top 10, elle a mis en place une liste dédiée particulièrement à la sécurisation des applications mobiles, à savoir l’OWASP Mobile Top 10.
Ce Top 10 présente les dix risques de sécurité les plus critiques pour les applications mobiles. Il a pour but de sensibiliser les développeurs ainsi que les organisations à la sécurité des applications mobiles. C’est l’une des plus importantes références à prendre en compte, car la part de l’utilisation des services avec des Smartphones ne cesse d’augmenter.
OWASP mobile security testing guide
En plus des offres précédentes, l’OWASP propose une norme de sécurité dédiée aux applications mobiles, accompagnée d’un guide de tests complet. Ce guide couvre les processus, les outils ainsi que les techniques que vous pouvez utiliser lors des tests de sécurité de vos applications mobiles.
Ce document fournit également un ensemble de cas de tests, permettant aux testeurs de fournir des résultats complets et cohérents.
Bref, il s’agit d’un référentiel très prisé par les développeurs pour la sécurité des applications web et mobile.
OWASP Top 10
Le Top 10 de l’OWASP est le projet le plus connu de l’organisation. En réalité, il s’agit d’une liste des 10 risques de sécurité les plus cruciales pour les applications web.
Le but de ce projet est de sensibiliser les développeurs à la sécurité web. D’ailleurs, ce Top 10 est reconnu mondialement par les développeurs en guise de base de référence pour sécuriser le code de leurs applications.
C’est le sujet que nous allons aborder un peu plus en profondeur dans ce dossier.
L’OWASP a publié ses Tops 10 des risques en matière de sécurité des applications en 2017
L’OWASP a publié sa liste très attendue pour 2017. Celle-ci est basée sur 11 jeux de données d’entreprises spécialisées dans la sécurité des applications.
Elle couvre les vulnérabilités rassemblées auprès de centaines d’organisations et de plus de 50 000 applications et API dans le monde.
Injection
Authentification interrompue et gestion des sessions
Scripts XSS (Cross-Site Scripting)
Contrôle d’accès cassé
Mauvaise configuration de la sécurité
Exposition aux données sensibles
Protection insuffisante contre les attaques
Contrefaçon de demande intersite (CSRF)
Utilisation de composants présentant des vulnérabilités connues
Sous APIs protégées
Injection de code
L’injection de code est un type de stratégie que les pirates peuvent utiliser pour prendre vos propres codes à partir d’un site web. Pour ce faire, ils manipulent les paquets de vos flux de données existant grâce à de nombreux outils.
Ils peuvent ensuite utiliser de nombreux types de code pour ensuite les injecter dans votre flux de données, en utilisant des vulnérabilités pour lancer un kit d’exploitation. C’est notamment le cas lorsque l’un de vos développeurs a fait un mauvais travail de codage d’un programme informatique.
Normalement, ces derniers devraient s’assurer que leurs collaborateurs utilisent les applications de façon efficace et réparer les vulnérabilités afin que les cybercriminels ne puissent pas en profiter.
L’une des choses que les pirates ont l’habitude de faire est d’injecter votre propre code SQL dans certains de vos flux de données. Ils modifient les demandes SQL qui sont faites à une base de données à travers un front end web. Bien entendu, ils n’ont pas l’accès direct à votre base de données, mais lorsqu’ils font une requête sur votre serveur web, le serveur va réaliser une requête à votre base de données SQL.
De cette manière, ils peuvent donner à votre serveur web de mauvaises informations, ce qui donne par la suite de mauvaises informations au serveur SQL. En fin de compte, ils peuvent obtenir des informations sensibles depuis votre base de données.
Étant donné qu’il existe tellement de types de données différents, les responsables informatiques doivent empêcher les pirates d’injecter de données HTML, SQL, XML et LDAP. La meilleure façon d’y parvenir est de mettre vos informations dans un flux de données pour que les pirates ne puissent pas contourner la sécurité.
L’attaque par injection SQL est très répandue, mais il y a d’autres types d’injection tels que l’injection XML et l’injection LDAP qui permettent aux pirates d’accéder facilement aux identifiants de connexion de vos employés.
Authentification interrompue et gestion des sessions
Saviez-vous que plus de 113 millions de sites web présentent actuellement une faille de sécurité ? Cela représente environ 6 % de tous les sites internet dans le monde. En fait, chaque vulnérabilité est considérée comme une faiblesse du code d’un site web que les cybercriminels peuvent exploiter pour obtenir un accès non autorisé à votre réseau ou aux périphériques qui y sont connectés.
En 2018, l’un des types de vulnérabilités les plus courants signalés par l’OWASP concernait l’authentification interrompue et la gestion des sessions. En termes simples, la gestion des sessions et de l’authentification interrompue permet à un cybercriminel de voler les données de connexion d’un de vos employés ou de falsifier leurs données d’identification comme les cookies pour accéder à votre site web, sans votre autorisation.
Le Top 10 de l’OWASP est une liste des 10 failles de sécurité les plus dangereuses des applications web de nos jours, y compris l’authentification et la gestion de session interrompues. Selon owasp.org, son but est de favoriser la visibilité et l’évolution de la sécurité des solutions logicielles dans le monde.
Qu’est-ce que l’authentification interrompue et la gestion de session ?
De nombreux sites web exigent que les utilisateurs se connectent pour accéder à leurs comptes, pour faire un achat, etc. Le plus souvent, cela se fait à l’aide d’un nom d’utilisateur et d’un mot de passe.
Avec cette information, un site va rediriger le visiteur vers son compte. Si les informations d’identifications ne sont pas correctement sécurisées, les pirates peuvent utiliser un faux schéma d’authentification et de gestion de session pour se faire passer pour un utilisateur valide.
Comment les pirates peuvent-ils exploiter l’authentification et la gestion de session interrompue ?
Lorsqu’un employé se connecte à votre site web, le site utilise un algorithme qui lui permet de générer un identifiant de session unique. L’appareil de votre employé va utiliser cette information d’identification pour lui permettre d’accéder à son compte.
Toutes ces informations doivent être envoyées et retournées depuis l’appareil utilisé jusqu’au serveur. Si ces informations ne sont pas chiffrées et au moment où elles sont envoyées au serveur web de votre entreprise, les pirates peuvent les intercepter.
Ces derniers peuvent ensuite usurper les identifiants de connexion de l’utilisateur pour pouvoir les utiliser à des fins malveillantes.
Quels sont les risques ?
Une telle attaque ne doit pas être prise à la légère, car elle affecte directement la vie privée et la protection des données des utilisateurs finaux, mais aussi ceux des administrateurs des entreprises si les cybercriminels parviennent à accéder à des comptes non autorisés.
Si vous voulez comprendre comment fonctionne le vol de session et comment vous en protéger, vous devriez faire un rappel sur le fonctionnement d’une session avant de concevoir votre application web. Vous devriez également mettre en place un système d’authentification à deux facteurs que les utilisateurs devront utiliser pour se connecter à leur compte Windows, par exemple.
Scripts XSS (Cross-Site Scripting)
Le Cross-site Scripting ou XSS est une attaque par injection de code du côté de l’utilisateur. L’attaquant vise à exécuter des scripts malveillants dans le navigateur web de vos employés en incluant du code malveillant dans une application web ou une page web légitime.
L’attaque réelle se produit lorsque la victime consulte la page ou l’application web qui exécute le code malveillant. En conséquence, la page ou l’application web devient un vecteur de scripts malveillants.
Les moyens d’attaque utilisés pour le Cross-site Scripting sont souvent les forums, les messages électroniques et les pages web qui permettent de faire des commentaires.
Par exemple, un pirate peut poster un script malveillant sur un forum de discussion. Lorsqu’un autre utilisateur clique sur le lien fourni, cela déclenche un appel asynchrone HTTP TRACE, collectant les informations du cookie de l’utilisateur sur le serveur. Ensuite, ces informations sont envoyées à un autre serveur malveillant qui collecte à nouveau les informations du cookie pour permettre au pirate de lancer une attaque de détournement de session
Le Cross-site Scripting peut aussi être utilisé pour défigurer un site web au lieu de cibler l’utilisateur. Dans ce cas, le pirate peut utiliser des scripts injectés afin de modifier le contenu du site web ou même rediriger le navigateur vers une autre page web, par exemple, vers une page contenant un code malveillant.
Comment vous protéger ?
Les principales défenses contre les scripts XSS sont précisées dans la fiche de prévention des XSS de l’OWASP. Cependant, le plus important est de désactiver le support HTTP TRACE sur tous vos serveurs web. Vous devriez également supprimer la prise en charge de HTTP TRACE sur tous vos serveurs web si vous ne voulez pas qu’un pirate vole vos données de cookies via Javascript, même lorsque l’objet document.cookie est désactivé.
Contrôle d’accès cassé
Le contrôle d’accès est la façon dont une application web permet à certains de vos employés d’accéder à des contenus et à des fonctions spécifiques. Ces contrôles sont effectués grâce à un système d’authentification et régissent ce que les employés « autorisés » peuvent faire.
La mise en place d’un contrôle d’accès semble être simple, mais ce n’est pas vraiment le cas. Le modèle de contrôle d’accès d’une application web est étroitement lié au contenu et aux fonctions que le site fournit.
De plus, vos employés peuvent appartenir à un certain nombre de groupes ayant des privilèges différents.
Les développeurs sous-estiment souvent la difficulté de mettre en place un mécanisme de contrôle d’accès fiable. Le fait est que de nombreux mécanismes de sécurité web ne sont pas souvent conçus délibérément.
Ils ont simplement évolué en même temps que le site web de leur entreprise. Dans ces cas, des règles de contrôle d’accès sont insérées à divers endroits. Au fur et à mesure que le site est déployé, la collection de règles devient si lourde, de sorte qu’il devient presque impossible de les comprendre.
Cela peut entraîner des failles de sécurité que les pirates peuvent exploiter. Une fois que ces derniers découvrent la vulnérabilité, les conséquences d’un système de contrôle d’accès défectueux peuvent être dévastatrices. Par exemple, un cybercriminel peut prendre en charge l’administration de votre site Internet.
Mauvaise configuration de la sécurité
Le fait de ne pas configurer correctement vos serveurs, vos ordinateurs et vos périphériques réseau peut entraîner de nombreux problèmes de sécurité. Les réseaux peuvent être reconfigurés par les pirates pour qu’ils puissent accueillir de nouvelles tâches ou de nouveaux utilisateurs.
Chaque périphérique connecté à votre réseau doit donc être configuré correctement. Si vous êtes le gestionnaire de réseau de votre entreprise, vous devez également savoir comment tous les dispositifs connectés au réseau sont configurés et sécurisés.
L’un des exemples concrets est celui de Target qui n’avait pas pris conscience qu’un système tiers d’un fournisseur de chauffage, ventilation et climatisation (CVC) était directement connecté à son réseau central. L’entreprise a subi l’une des plus grandes brèches de données de l’histoire.
Si la société avait réalisé que le fournisseur tiers était connecté à son réseau, elle aurait pu empêcher la violation des données en revenant au paramètre de configuration avant que le fournisseur de CVC ne s’y connecte.
Comme autre solution, la société pouvait mettre le système du fournisseur sur un VLAN séparé.
Exposition des données sensibles
Les logiciels de nos jours deviennent de plus en plus complexes et connectés. Ce qui rend difficile le fait d’assurer la sécurité des applications. Le rythme rapide des processus de développement de logiciels modernes rend les risques les plus courants essentiels à découvrir et à résoudre de façon précise et rapide.
Les entreprises ne devraient plus tolérer des problèmes de sécurité relativement simples tels que ceux présentés dans le Top 10 de l’OWASP.
Après la publication de ce Top 10, de nombreux commentaires ont été reçus par l’OWASP. Bien que son but initial fût simplement de sensibiliser les développeurs et les gestionnaires réseau concernant les risques en matière de cybercriminalité, il est actuellement devenu le standard de la sécurité des applications.
Protection insuffisante contre les attaques
Le terme « protection insuffisante contre les attaques » est souvent difficile à expliquer parce que cela englobe plusieurs concepts. En réalité, les entreprises doivent se focaliser sur toutes les applications web et les solutions de protection web, même les plus élémentaires.
Pour ce faire, vous devrez d’abord considérer toute source pouvant accéder ou envoyer des requêtes à vos applications web, que ce soit via un réseau local ou via l’Internet.
L’essentiel est de savoir le niveau de préparation nécessaire pour détecter et répondre adéquatement aux anomalies et aux attaques automatisées ou manuelles. Vous devez également vous assurer que vous disposez de la technologie nécessaire pour sécuriser votre réseau et vos applications.
Si vous parvenez à détecter et à bloquer les attaques entrantes avant qu’elles ne se manifestent, vous allez améliorer grandement le niveau de sécurité web. Ce qui rend cette solution difficile à réaliser, c’est parce que la plupart des applications ne disposent pas d’un niveau de protection dès le départ.
Les failles concernant vos applications et votre réseau peuvent provenir d’utilisateurs connus ou de sources anonymes. Pour éviter cela, vous devez donc être capable de reconnaître les failles en utilisant des outils d’évaluation des vulnérabilités comme Burp Suite ou le ZAP de l’OWASP.
N’oubliez pas également que les pirates compétents peuvent utiliser des tactiques de furtivité pour sonder discrètement vos applications à la recherche de vulnérabilités qu’ils pourraient exploiter ultérieurement.
L’OWASP suggère par exemple l’utilisation des technologies telles que les WAF et le RASP pour vous permettre de détecter ou même de prévenir les attaques entrantes.
Contrefaçon de demande intersite (CSRF)
Une contrefaçon de requête intersite est une attaque consistant à forcer l’un de vos employés à envoyer une requête HTTP vers une destination cible à son insu afin qu’il effectue une action en tant que victime.
La cause sous-jacente est la fonctionnalité de l’application qui utilise des actions URL/formulaires prévisibles de manière répétable. Le but de l’attaque est d’exploiter la confiance d’un utilisateur envers un site web.
Ce genre d’attaque est efficace dans un certain nombre de situations, notamment lorsque la victime a une session active sur le site cible, lorsqu’elle est authentifiée via une authentification HTTP sur le site cible ou lorsqu’elle se connecte au même réseau local que le site cible.
CSRF a été principalement utilisé pour effectuer une action contre un site cible en utilisant les privilèges de la victime. Pourtant, des techniques récentes ont été découvertes, consistant à divulguer des informations lorsque le site cible est vulnérable au XSS.
En effet, le site cible peut être utilisé comme plate-forme pour la CSRF, ce qui permet aux attaquants de mener des actions qui vont au-delà des limites de la politique d’utilisation acceptable de votre entreprise.
Si un attaquant souhaite forger une requête HTTP, il commence généralement par profiler le site cible, soit en examinant la source HTML, soit en inspectant le trafic HTTP. Cela lui permet de déterminer le format d’une requête légitime, car la requête falsifiée est censée imiter aussi fidèlement que possible une requête légitime.
Par exemple, il se peut que votre site web permette à vos employés de configurer leur compte de messagerie électronique sur le web pour transférer tous leurs e-mails entrants à une autre adresse.
Pourtant, un pirate peut déduire de la visualisation de cette source HTML ou utiliser le formulaire d’une requête falsifiée, dans un format similaire à celui installé sur votre site web.
Si l’attaquant peut forger une telle requête d’un autre utilisateur, il peut commencer à recevoir tous les e-mails de ses victimes.
Utilisation de composants présentant des vulnérabilités connues
Les vulnérabilités de sécurité connues sont celles qui ont été identifiées soit par le développeur/le fournisseur de services gérés, soit par l’utilisateur/le développeur, soit par un pirate informatique.
Pour exploiter les vulnérabilités de sécurité connues, ce dernier peut identifier un composant faible dans votre système d’information (SI). Il pourra donc analyser votre SI à l’aide d’outils automatisés.
C’est la méthode la plus courante, car ces outils de piratage sont disponibles en ligne. Il peut aussi analyser les composants manuellement, ce qui est une option moins courante puisqu’elle nécessite des compétences plus avancées.
Presque toutes les applications ont au moins quelques vulnérabilités, dues à des faiblesses dans les composants ou les bibliothèques dont dépend l’application. Parfois, les vulnérabilités sont délibérées. Les vendeurs sont connus pour laisser des vulnérabilités appelées « backdoor » dans leurs systèmes afin de pouvoir accéder au système à distance une fois qu’il est déployé. Cependant, la plupart des vulnérabilités sont involontaires. Elles sont dues à des failles de sécurité inhérentes à la conception du produit.
La plupart des fournisseurs de services gérés s’attaquent aux vulnérabilités au fur et à mesure qu’ils les identifient et les corrigent en publiant des mises à jour et des correctifs du produit ou en proposant une nouvelle version du produit.
Il est important de garder les composants et les bibliothèques à jour avec les derniers correctifs et de mettre à niveau vos applications dès qu’une nouvelle version est disponible.
Cela réduit considérablement le nombre de vulnérabilités connues qui pourraient mettre en danger vos applications.
Mais dans la plupart des cas, les développeurs ne connaissent pas tous les composants de leurs applications, ce qui rend impossible de remédier à toutes les vulnérabilités.
Comment les pirates exploitent-ils les vulnérabilités de sécurité connues ?
Malheureusement, les pirates informatiques ont accès aux mêmes bases de données publiques et aux mêmes listes de diffusion que les clients légitimes.
De plus, ils peuvent assembler et partager des listes de vulnérabilités connues en ligne, puis utiliser ces listes afin de développer des outils de piratage qui s’introduisent dans les composants et les applications même si l’attaquant n’a pas de connaissances ou de savoir-faire personnels sur ce composant particulier.
Ainsi, les développeurs légitimes doivent devenir encore plus vigilants et avertis pour protéger leurs applications que les pirates ne le sont pour les attaquer.
Sous APIs protégées
Les applications modernes utilisent des API provenant de nombreuses sources directement en guise de sous-composants de bibliothèques tierces liées lors de la construction d’une application.
Toutes ces API peuvent présenter des vulnérabilités non protégées et, plus inquiétant encore, ne peuvent être détectées par les outils d’analyse de sécurité standard utilisés pour mettre en évidence les risques.
Toutes les API utilisées pour créer une application doivent être testées pour détecter les vulnérabilités, comme tous les autres composants utilisés pour fournir des applications web.
Les tests doivent englober tous les types de vulnérabilités courantes tels que les attaques par injection, l’usurpation des identifiants de connexion, les problèmes de contrôle d’accès, les problèmes de chiffrement et la mauvaise configuration des paramètres réseau.
Cette liste n’est pas exhaustive et d’autres types de vulnérabilités pourraient exister dans les API.
Comme nous l’avons également mentionné dans le paragraphe « Protection insuffisante contre les attaques » ce nouvel ajout à la liste des 10 risques de sécurité de l’OWASP a l’air d’une liste fourre-tout.
Les vulnérabilités sont bien connues, mais l’objectif de ces nouvelles catégories de vulnérabilités semble être d’amener les développeurs et les administrateurs système à se concentrer sur les solutions de sécurité web en interne, notamment celles concernant les applications et des plateformes web.
Plutôt que de vous fier uniquement aux outils de sécurité existants, à l’instar des pare-feux, des applications réseau et d’une solution de protection web, vous devrez également appliquer ces quelques conseils pour protéger vos employés et les données de votre entreprise.
Étant donné la nature des API et le fait qu’elles sont souvent attaquées via des codes malveillants, il n’y a pratiquement pas d’interfaces utilisateur conviviales qui peuvent être utilisées pour vérifier les vulnérabilités. C’est ce qui rend leur utilisation risquée.
Que faut-il retenir ?
En 2010, les trois principaux risques étaient identiques à ceux publiés cette année. Si on compare les rapports de 2010 à celui de 2017, sept des placements de risque sont identiques. La principale raison de la différence entre les deux est que l’OWASP a consacré une plus grande attention à l’API cette année.
Bon nombre des risques qui ont été décrits relèvent de la responsabilité des développeurs.
Les attaques par injections en sont un bon exemple, car elles continuent de représenter le risque le plus important. Elles se produisent lorsque des données SQL, OS et LDAP non fiables sont envoyées dans le cadre d’une commande ou d’une requête.
Les données hostiles injectées par l’attaquant peuvent entraîner l’exécution de commandes involontaires ou l’accès à des données sans autorisation appropriée. Ce type d’attaque est généralement le résultat de l’absence de validation de la saisie (n’autorisant que certains caractères ou commandes dans une zone de texte ou un autre point de saisie).
Tous les Tops 10 de l’OWASP ne sont cependant pas le résultat de techniques de programmation inappropriées.
De nombreux aspects d’une mauvaise configuration de sécurité relèvent également de la compétence de l’administrateur réseau. Les administrateurs doivent s’assurer que tous les serveurs web, d’applications et de bases de données sont toujours patchés et mis à jour.
Les paramètres de configuration doivent être analysés pour s’assurer que ces serveurs sont renforcés. Ils peuvent par exemple s’assurer que la navigation dans les répertoires est désactivée sur le serveur web.
Une autre catégorie qui affecte les administrateurs aujourd’hui est l’exposition aux données sensibles. Les organisations qui sont soumises aux obligations de conformité de la HIPAA et de la Cour pénale internationale (CPI) devraient chiffrer les données personnelles et de grande valeur. En effet, le chiffrement est le meilleur moyen de protéger l’acquisition non autorisée de données par des pirates et d’autres tiers.
Si votre organisation utilise une quelconque application web, vous devez mettre en œuvre des tests de vulnérabilité réguliers afin de vous assurer que ces risques hautement exploités ne constituent pas une menace pour votre organisation.
Conclusion
Il est difficile d’assurer à 100 % la sécurité web des entreprises. Toutefois, grâce à des services comme ceux proposés par l’OWASP, ainsi que l’adoption d’une bonne stratégie interne, vous pouvez optimiser la sécurisation de vos outils web.
Les projets de l’OWASP proposent plusieurs mesures préventives et des contre-mesures efficaces que vous devriez utiliser. Cependant, pour que ces mesures soient efficaces, il est recommandé de les considérer dès le commencement de votre projet, comme la création d’une application web. Plus vous mettez en avant la sécurité en amont de votre projet, plus il sera plus facile à réaliser et à gérer.
Pendant le développement de vos applications, les développeurs doivent miser sur leur sécurité. Ils doivent aussi veiller à ce que l’équipe technique qui met en œuvre le projet soit au courant des mesures de sécurité à appliquer.
Enfin, des audits de sécurité réguliers devraient être réalisés dans le cas d’un projet sensible afin de limiter tout risque d’attaques, dont les préjudices peuvent être sévères. Lors de cette étape, les équipes techniques peuvent se référer aux nombreux projets de l’OWASP.
Vous êtes un professionnel de l’informatique et vous voulez vous assurer que votre réseau et vos appareils sont protégés ? Adressez-vous à l’un de nos spécialistes de la sécurité ou écrivez-nous à info@titanhq.fr pour toute question.
FAQs
La sécurité des applications est-elle vraiment importante ?
À l’ère du numérique, toutes les organisations doivent s’attaquer aux risques de sécurité de leurs applications. Sans cela, elles risquent de perdre leurs données sensibles. D’autres informations et propriétés intellectuelles pourraient également être compromises. Et sachez que les dommages causés par les brèches sont souvent extrêmes et permanents. De plus, les applications d’entreprises sont désormais l’une des plus grandes cibles de violations de données.
Comment savoir si la sécurité de mes applications est en danger ?
Il existe plusieurs signes montrant que la sécurité de vos applications est défaillante. Il peut s’agir d’un ralentissement ou d’un dysfonctionnement d’une application ; de messages de journal inattendus, de modification de fichiers ou d’apparition de nouveaux utilisateurs. Vous devez également vous méfier lorsque vous recevez des avertissements du navigateur ; des plaintes des clients via ou des médias sociaux ou les e-mails du service d’assistance concernant le dysfonctionnement de vos applications. En cas de violation de la sécurité de vos applications, votre équipe de sécurité informatique doit disposer d’un plan de réponse aux éventuels incidents.
Mon réseau est déjà bien sécurisé, alors pourquoi devrais-je me soucier de la sécurité de mes applications ?
On pense souvent qu’un pare-feu réseau peut protéger les sites web et les applications web se trouvant derrière lui. Cependant, sachez que la sécurité du réseau utilise des défenses périmétriques comme les pare-feu pour empêcher les pirates d’accéder à votre réseau et d’accorder l’accès aux utilisateurs légitimes. Le fait est que ces défenses périmétriques du réseau ne suffisent pas à protéger les applications web contre les attaques malveillantes.
Quelle est la meilleure façon de procéder pour améliorer la sécurité des applications web ?
Pensez à faire des tests de sécurité de vos applications. C’est un élément essentiel de la gestion de toute application. Suivez les meilleures pratiques en matière de sécurité des applications pour améliorer vos perspectives. Demandez l’aide d’un expert qui est en mesure de créer un plan de sécurité pour vos applications.
Est-ce vraiment nécessaire de s’associer à un expert en sécurité pour protéger mes applications ?
Même les plus grandes entreprises disposant d’une équipe informatique interne étendue font appel à une aide extérieure lorsqu’il s’agit de cybersécurité. Les menaces qui pèsent sur les applications sont devenues si vastes et si diverses, qu’il est presque impossible pour les équipes internes de posséder toutes les connaissances nécessaires pour protéger leurs employeurs contre toutes les menaces, à tout moment. Un partenariat avec des experts en sécurité permettra donc d’approfondir l’approche de la sécurité des applications web de votre entreprise. C’est l’occasion d’éviter les omissions flagrantes et d’identifier les opportunités manquées.