L’Internet est aujourd’hui critique pour l’économie et la vie en société. Dans ce réseau, les noms de domaine représente une ressource d'une importance capitale pour le bon fonctionnement de plusieurs applications ou services Internet. Malheureusement, des acteurs malveillants utilise cette ressource critique pour planifier et exécuter des activités illicites.
Ce dossier thématique présente de manière synthétique les abus liés au nom de domaine et les principales techniques de sécurité employées pour y faire face.
Présentation du DNS (Domain Name System)
Le Système des Noms de Domaine, en anglais DNS (Domain Name System) est une ressource critique pour le fonctionnement d’Internet. C’est lui qui permet d’établir la correspondance entre un nom de domaine et une adresse IP. Un nom de domaine est, dans le système de noms de domaine DNS, un identifiant de domaine internet. Les utilisateurs s'appuient sur les noms de domaine pour simplifier leur navigation sur la toile mondiale et les médias sociaux, pour identifier les sources et les destinations du courrier électronique ou d'autres formes de correspondance, et généralement pour les aider dans leurs autres activités sur l'internet, telles que la banque ou le commerce en ligne.
Le dépôt d'un nom de domaine (du type "mondomaine.com") s'effectue auprès d'un "bureau d'enregistrement" ("registrar" en anglais), organisme intermédiaire entre les demandeurs (ou titulaires) de noms de domaine, et l'ICANN (Internet Corporation for Assigned Names and Numbers), société à but non lucratif responsable de l'allocation des adresses IP dans le monde via le système des noms de domaine.
Principaux types d'abus en matière de noms de domaines
- Cybersquatting
Le cybersquatting, consistant à déposer un nom de domaine en portant volontairement atteinte aux droits d’un tiers pour en retirer profit ou pour lui nuire. Il existe beaucoup de techniques de cybersquatting, l’objectif étant généralement d’usurper l’identité de la victime et/ou de capter du trafic à ses dépends.
- Spam
Le spam est l'envoi massif de courriel non sollicité, dont le destinataire n'a pas autorisé l'envoi, et qui a été envoyé dans le cadre d'une collection plus large de messages, tous ayant un contenu substantiellement identique.
- Malware
Un malware est un logiciel malveillant, installé sur un appareil sans le consentement de l'utilisateur, qui perturbe le fonctionnement de l'appareil, recueille des informations sensibles et/ou accède à des systèmes informatiques privés. Les logiciels malveillants comprennent les virus, les logiciels espions, les logiciels contre rançon et autres logiciels indésirables
- Mensonges
Un autre cas d’abus des noms de domaine est celui des mensonges. Si on veut répandre des fausses informations, il peut être utile de disposer d’un nom de domaine « crédible », même si peu d’utilisateurs vérifient ce nom de domaine.
- Hameçonnage
L’hameçonnage (ou phishing en anglais) consiste à attirer les victimes vers un site Web qui ressemble à un site Web qu’elles connaissent, où elles ont un compte, pour leur faire entrer leurs informations d’authentification. Le hameçonneur peut ainsi se constituer une liste de comptes, avec leurs mots de passe, qu’il utilisera ensuite pour accéder à des services en empruntant l’identité de ses victimes. Par exemple, s’il s’agit d’un compte bancaire, le hameçonneur pourra sortir l’argent à son profit.
- Botnet
Un autre cas plus technique d’abus lié aux noms de domaine est celui des DGA (Domain Generation Algorithms) par les botnets. Un botnet est un réseau d’ordinateurs piratés, les zombies, qui obéissent désormais à un maître extérieur et non plus à l’utilisateur légitime. Le maître loue le botnet à des délinquants pour envoyer du spam, effectuer des attaques par déni de service, etc.
- Pharming
Le pharming consiste à rediriger les utilisateurs vers des sites ou des services frauduleux, généralement par détournement de DNS ou empoisonnement. Le détournement de DNS se produit lorsque les attaquants utilisent des logiciels malveillants pour rediriger les victimes vers le site [de l'attaquant] au lieu de celui initialement demandé. L'empoisonnement du DNS fait qu'un serveur DNS [ou un résolveur] répond avec une fausse adresse IP contenant un code malveillant. Le phishing diffère du pharming en ce que ce dernier implique la modification des entrées DNS, tandis que le premier piège les utilisateurs en leur faisant entrer des informations personnelles
Principales techniques de sécurité
Chaque acteur impliqué dans la gestion de nom de domaine est un maillon d’une chaîne de valeur où tous sont interdépendants. Les conseils suivants ne sont donc pas destinés à une catégorie d’acteurs en particulier mais à tous ceux qui participent au fonctionnement du DNS (utilisateur final, gestionnaires de domaines, bureaux d’enregistrement, entreprises, fournisseurs d’accès...). Voici quelques actions possibles à envisager face à ces cas d’abus :
- investiguer rapidement sur les allégations des cas d’abus par les bureaux d'enregistrement et les registres
- mettre en place un système de signalement en cas d’abus
- sensibiliser tous les acteurs aux enjeux liés aux abus DNS
- assurer la meilleure redondance possible, de manière à ce qu’un serveur affecté par une attaque puisse être remplacé en toute transparence par d’autres serveurs disposant des mêmes informations mais situés sur d’autres réseaux. C’est la raison pour laquelle les registres de noms de domaine, exigent toujours que chaque nom de domaine soit installé sur au moins deux serveurs de noms. D’autres techniques plus élaborées, comme le recours à des nuages anycast, permettent d’augmenter encore plus la redondance avec à la clé des gains notables en termes de sécurisation et de performances ;
- veiller à utiliser des versions à jour des logiciels DNS, notamment de BIND, corrigées par les « patchs » appropriés, afin de ne pas être vulnérable à des attaques portant sur des failles de sécurité déjà bien identifiées ; assurer une surveillance régulière de ses serveurs et de leur configuration, de préférence depuis plusieurs points de l’Internet. Pour vérifier la configuration, il existe des logiciels libres comme ZoneCheck.
- envisager de déployer DNSSEC, protocole de sécurisation du DNS par l’authentification des serveurs, ce système limitant notamment les attaques par empoisonnement.
- définir un « Plan de continuité d’activité » permettant à la victime d’une attaque de poursuivre, ou de reprendre en cas d’incident grave, ses activités avec un minimum d’indisponibilité de ses services. Cette précaution est particulièrement essentielle pour tous ceux qui dépendent d’Internet – et donc du DNS – pour leur chiffre d’affaires, notamment ceux qui proposent des services en ligne à leurs clients.
Somme toute, l’abus DNS est toute activité nuisible ou malveillante liée aux noms de domaines. Les logiciels malveillants, les réseaux de zombies, le phishing, le pharming et le spam sont entre autres des cas d’abus dns les plus fréquent.
Face à ces abus évolutives, des réponses isolées ou non coordonnées risquent de s’avérer de moins en moins pertinentes. De la même manière, la sensibilisation continue des différents acteurs aux enjeux de la sécurité fait partie des actions de fond à mener.
Malick ALASSANE,
Analyste en CyberSécurité
