Archives par mot-clé : dns

Contrefaçon, Cybersécurité, Entreprise, Propriété Industrielle, Securite informatique

La dérive des domaines parqués, nouvel angle mort cyber

Longtemps réduits à des pages de publicité sans enjeu, les domaines parqués basculent vers une fonction d’aiguillage massif vers l’arnaque, le malware et l’illégal.

Une étude d’Infoblox décrit un renversement net du risque associé aux domaines parqués. Alors qu’ils étaient surtout perçus comme des sites « oubliés » affichant des annonces, ces domaines serviraient désormais de relais d’attaque. Plus de 90 % des visites observées, soit plus de neuf cas sur dix, aboutissent à des redirections vers des arnaques, des logiciels malveillants, des contenus illicites ou des malwares. Le mécanisme central s’appuie sur des systèmes publicitaires dits de direct search, ou zero-click, qui peuvent réorienter l’internaute sans action. La complexité de l’écosystème rend l’abus difficile à signaler.

Quand le « parking » devient une infrastructure de redirection

Le domaine parqué appartient à l’archéologie vivante du Web. Un nom de domaine est enregistré, mais le site n’est pas développé. À la place, une page de parking s’affiche, typiquement alimentée par de la publicité. Cette pratique a longtemps été traitée comme un bruit de fond : une conséquence banale de la spéculation sur les noms, des projets abandonnés, ou de stratégies défensives autour de marques. L’étude soutient que ce décor a changé de nature. Ce qui comptait surtout comme un résidu numérique se transformerait en vecteur fiable pour des opérations malveillantes.

Le point de rupture, tel que présenté, se situe dans la manière dont les visiteurs sont monétisés. Plus de 90 % des visites dirigées vers des domaines parqués finissent désormais sur des pages à risque. Le chiffre, pris au pied de la lettre, signifie qu’au-delà de neuf visites sur dix se traduisent par une redirection vers des arnaques, des scarewares, des contenus illégaux ou des logiciels malveillants. L’intérêt de ce résultat, s’il se confirme dans la durée, est moins la surprise statistique que le signal opérationnel : l’utilisateur n’atterrit plus sur une page publicitaire statique, il est « emmené » ailleurs, souvent immédiatement.

Un basculement dû à l’exploitation d’un mécanisme publicitaire qualifié de direct search, aussi décrit comme zero-click. La promesse implicite est simple : un internaute arrive sur un domaine parqué, et la chaîne publicitaire choisit une destination finale supposée pertinente, sans exiger de clic. En pratique, cette absence d’action humaine est précisément ce qui intéresse un acteur malveillant. Elle réduit les frictions, accélère le parcours et complique l’enquête, car l’infection ou l’arnaque se déclenche après une redirection automatique, pas après un choix explicite de l’utilisateur.

Le rapport insiste aussi sur un paradoxe technique. Les plateformes de parking et les grands intermédiaires publicitaires déploient des protections antifraude. Ces garde-fous, conçus pour filtrer le trafic artificiel, les robots ou les campagnes trop visibles, peuvent produire un effet inattendu : offrir aux cybercriminels des moyens supplémentaires pour camoufler leurs manœuvres. Autrement dit, une logique de conformité publicitaire et de lutte contre la fraude pourrait, involontairement, améliorer la discrétion de campagnes abusives en leur permettant de se fondre dans des flux considérés comme « normaux » par l’écosystème.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Le direct search, ou comment capter l’attention sans clic

L’intérêt cyber du direct search ne se limite pas à la redirection. Il touche à la mesure, au ciblage et à l’attribution, trois piliers des systèmes publicitaires modernes. Un schéma où l’internaute, venu parfois par erreur ou par habitude, est pris en charge par une mécanique d’enchères et d’orientation. La page de parking devient un sas : elle ne présente pas un contenu, elle aiguillonne vers un autre domaine, choisi par un « annonceur ». Le mot compte, car l’étude affirme que ces annonceurs diffusent fréquemment, non pas des produits légitimes, mais des escroqueries et des malwares.

Le zéro clic a aussi un autre effet : il réduit la capacité de l’utilisateur à se rendre compte qu’il a « changé de site ». Dans une séquence rapide, surtout sur mobile, l’internaute peut ne retenir qu’un seul geste, entrer une adresse, puis se retrouver devant une interface agressive, une fausse alerte de sécurité, un service illégal, ou un téléchargement piégé. Pour le renseignement de sécurité, l’enjeu est la traçabilité. Plus la chaîne est courte et automatique, plus il est difficile de distinguer l’accident (mauvaise saisie, domaine expiré) de l’abus systémique.

Des évolutions récentes des politiques de Google « semblent » avoir accru l’exposition des utilisateurs. Le texte ne détaille pas ces changements, mais la formulation est importante : le risque ne viendrait pas uniquement des attaquants, il serait amplifié par des ajustements de règles, de filtrage ou d’acceptation, côté plateformes. Dans l’économie du Web, une modification de politique, même bien intentionnée, peut déplacer la pression d’un endroit à un autre. Pour les acteurs malveillants, il suffit souvent d’une fenêtre de compatibilité pour industrialiser une tactique.

« Il y a dix ans, les recherches montraient que les domaines parqués étaient majoritairement inoffensifs et représentaient tout au plus un bruit de fond numérique » explique Renée Burton, vice-présidente d’Infoblox.  Aujourd’hui, nos travaux démontrent qu’ils sont devenus presque exclusivement malveillants. La transformation est frappante : ce qui n’était qu’un bruit de fond sur Internet est désormais une menace persistante, omniprésente et largement sous-estimée. » Pour une lecture cyber, cette déclaration pose une hypothèse forte : l’espace publicitaire associé aux domaines parqués ne serait plus marginalement pollué, il serait structurellement retourné.

Ce type de bascule intéresse aussi le renseignement au sens large, parce qu’il indique une capacité d’adaptation. Les attaquants ne se contentent pas d’exploiter des failles logicielles, ils réinvestissent des mécanismes économiques. Quand l’accès à une victime potentielle passe par une chaîne publicitaire, la défense doit combiner des réflexes de lutte anti-fraude, des contrôles DNS et une compréhension fine des redirections. La menace se situe moins dans la page visible que dans l’orchestration qui suit.

Trois portefeuilles de domaines, des tactiques avancées, un signalement quasi impossible

L’étude met en avant trois grands détenteurs de portefeuilles de domaines, décrits comme des « domainers », associés à des tactiques évoluées. Ce point compte, car il déplace l’attention du domaine isolé vers la capacité industrielle. Un acteur qui contrôle un large inventaire de noms peut tester, segmenter, puis optimiser. Cela ressemble moins à une campagne opportuniste qu’à une chaîne d’approvisionnement, avec des variantes selon la géographie, le terminal, l’heure, ou le profil supposé du visiteur.

Dans un contexte de parking et de redirections, le profilage des internautes peut servir à choisir la charge utile : afficher une page publicitaire anodine à un enquêteur, mais envoyer un utilisateur « ordinaire » vers une arnaque plus agressive. Cette logique de double visage est un classique de l’évasion. Elle rend les reproductions difficiles : deux visites successives peuvent produire deux destinations différentes, ce qui complique l’établissement d’une preuve stable.

Le rapport cite aussi l’exploitation de lookalike/typo squatting domains. L’idée est d’utiliser des noms qui ressemblent à des marques ou à des services connus, sans être identiques. Dans la pratique, la ressemblance suffit parfois à capter une fraction du trafic, surtout quand l’utilisateur tape vite, sur un clavier mobile, ou suit un lien tronqué. La collecte de mails via des fautes de frappe. Là encore, la logique est d’extraire de la valeur d’un écart minuscule. Une adresse saisie avec une erreur peut envoyer un message vers un domaine contrôlé par un tiers, offrant une opportunité de collecte, de phishing secondaire, ou de revente.

L’étude mentionne aussi l’usage de techniques DNS rares comme le fast flux. Le fast flux consiste à faire bouger rapidement les adresses IP associées à un nom, afin de compliquer le blocage et l’attribution. Si ce mécanisme est réellement observé dans l’écosystème des domaines parqués, il indique une maturation. On n’est plus seulement sur de la publicité douteuse, mais sur des méthodes historiquement liées à la résilience d’infrastructures malveillantes.

Pour finir, une difficulté centrale apaprait clairement : chaque acteur viserait des marques et des publics différents, ce qui rend la menace diffuse. Cette dispersion a un effet de brouillard. Une entreprise qui surveille sa marque peut détecter certains typo squatting, mais pas l’ensemble. Un utilisateur peut être touché une fois, sans que cela produise une vague visible. Les équipes de réponse à incident, elles, risquent de voir des cas isolés, sans relier immédiatement le symptôme, une redirection depuis un domaine parqué, à une infrastructure plus large.

La phrase la plus opérationnelle, dans ce cadre, concerne le signalement. Selon l’étude, l’empilement d’intermédiaires et la sophistication des redirections rendent la dénonciation des abus « quasiment impossible ». Pour la cybersécurité, ce n’est pas qu’un problème administratif. C’est un indicateur de surface d’attaque durable. Si la boucle de remontée est lente, fragmentée, ou opaque, l’attaquant bénéficie d’un temps d’exploitation long. Et dans un système publicitaire, la vitesse joue pour celui qui sait itérer, mesurer et ajuster.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Apache, Chiffrement, cryptage, Cybersécurité

Garantir la protection de la sécurité par DNS hybride : quelles sont les pré-requis et avantages ?

Plus l’utilisation d’Internet est intensive, plus le DNS devient important. S’agissant d’un service si important, il est étrange que le DNS soit pratiquement invisible. Nous comptons dessus pour tout et pourtant nous ne le traitons pas comme un service essentiel ; au lieu de cela, nous le paramétrons, puis nous l’ignorons. Quelques points de vigilances sérieux sont à prendre en compte.

Le DNS est trop important pour être ainsi sous-estimé. Il convient de le gérer soigneusement, de mettre au point une architecture de DNS qui soit évolutive et sécurisée. Or c’est cette dernière étape qui est à la fois la plus difficile et la plus importante. Si l’on considère le DNS comme le GPS d’Internet, il n’est pas surprenant qu’il soit la cible des criminels. Abattre un serveur DNS peut empêcher une entreprise d’accéder à des ressources en ligne, tandis qu’empoisonner et fausser les résultats peut permettre à un criminel de rediriger les utilisateurs vers un site conçu pour dérober leurs informations d’identification – en ouvrant les portes de l’entreprise au vol d’IP, ainsi qu’en permettant un accès sans entraves aux comptes en banque et autres services financiers.

Une identification des vulnérabilités
Il suffit de regarder les listes de vulnérabilité publiées régulièrement pour voir à quel point il est risqué de ne pas gérer son serveur de DNS. ISC, l’organisme open source qui gère le développement de BIND, publie régulièrement sa matrice de vulnérabilité et a signalé sept principaux problèmes au cours des trois derniers mois. Quiconque ne suit pas ces listes et ne met pas ses serveurs à jour laisse son entreprise grande ouverte aux menaces les plus diverses. La base de données nationale de vulnérabilité du NIST décrit dans le détail 14 vulnérabilités constatées dans différents produits du serveur DNS sur la même période.

Beaucoup de ces vulnérabilités étaient critiques : dans un cas, une requête DNS spécialement formatée pouvait planter un serveur, empêchant ainsi une entreprise, ses utilisateurs (et dans certains cas, ses clients) d’accéder à Internet ou à leurs applications. Ces vulnérabilités zero-day présentent un risque important car le DNS peut sembler être un service qui « se contente de fonctionner », mais un serveur de DNS non sécurisé est une porte ouverte qui n’attend qu’une chose : que les cambrioleurs d’Internet entrent. Excepté qu’il ne s’agit pas uniquement de la porte de l’entrepreneur, mais également des portes des salariés, des portes des clients et du coffre-fort de la banque. En fait, de tout ce qui est en ligne.

Alors, comment peut-on sécuriser son DNS ?
Une solution de DDI bien conçue est une possibilité. Certains éditeurs propose un service de DNS Hybride. Contrairement à la plupart des solutions de DNS, le DNS hybride utilise deux technologies de DNS différentes afin de réduire les risques pour les utilisateurs. Dès qu’une alerte est publiée, il est possible de passer de BIND à NLnet Labs (NSD/Unbound) en un seul clic et une fois qu’un patch a été oublié, il est possible de le tester, avant de l’envoyer en production dès le processus de validation terminé. Toutes les modifications apportées au DNS local étant gérées par le logiciel de l’éditeur, il est inutile de reconfigurer le reste de votre réseau.

Préserver la sécurité de l’infrastructure constitue une part important du travail d’un service informatique. Le DNS Hybride aide à simplifier le processus, en facilitant la gestion et le contrôle du DNS, tout en minimisant le risque, mais il est l’un des plus importants, ce qui minimise le risque de vulnérabilités aux attaques zero-day dans les technologies clés du réseau. L’infrastructure de DNS Hybride est également une extension des meilleures pratiques informatiques, qui utilise une combinaison de technologies pour gérer le risque.

Lorsqu’une infrastructure hybride est mise en place, si une technologie présente un risque ou est attaquée, la deuxième continue d’assurer le service et il est possible de basculer de la technologie attaquée à l’autre en une seconde. Le but ici, comme toujours, est de préserver la simplicité des opérations. Les outils de DDI facilitent la gestion des paramètres de DNS. Combinés avec le DNS Hybride, ils permettent de basculer d’un DNS non sécurisé à un serveur sécurisé dès que l’utilisateur est notifié. Il peut ensuite rebasculer une fois le système mis à jour. Simple et sécurisée : cette méthode permet de préserver le DNS contre les pirates informatiques et de garantir que les données les plus précieuses atteignent la destination souhaitée. Tout en préservant l’entreprise contre les attaques zero-day destructrices. (Par Hervé DHELIN, EfficientIP)

Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Leak, Piratage

Code malveillant dans les caisses enregistreuses

Alors que la chaîne américaine de magasins The Home Depot vient d’annoncer le vol de 53 millions d’adresses emails de clients* (en plus des 56 millions de données de cartes bancaires déjà déclarés en septembre), le G DATA SecurityLabs a découvert une nouvelle variante de FrameworkPOS, le code ayant ciblé cette entreprise. Nouveauté de ce code : il exfiltre les données volées par requêtes DNS (Domain Name System).

Cette analyse montre comment les cyber criminels travaillent à l’heure actuelle. La variante découverte envoie les données extraites via des requêtes DNS, ce qui est une technique très aboutie. Pour détecter ce type d’attaque, G Data conseille aux entreprises équipées de systèmes d’encaissement de mettre en place un système de DNS passif. Une analyse des requêtes facilite la détection de ce type d’attaque.

Qu’est-ce qu’un système PoS ?
Un système PoS (Point of Sales en anglais – Point de Vente en français) se compose en règle générale d’une caisse enregistreuse et d’un appareil pour lire les cartes de crédit. L’appareil POS enregistre les ventes des clients mais pas uniquement. Il sert également à l’inventaire, aux entrées et sorties de stocks.

Qu’est-ce qu’un DNS?
DNS signifie “Domain Name System”. Il s’agit du carnet d’adresse Internet. L’adresse d’un site internet est traduite en une adresse technique utilisant le système DNS. Il s’agit d’une combinaison de numéros appelée adresse IP (par exemple : 208.80.154.224). Un DNS passif est un système qui enregistre les requêtes DNS dans une base de données. Ainsi, on peut observer quelle valeur (adresse IP) un domaine a (ou inversement, quel nom/domaine est lié à telle adresse IP). (G Data)

* Le communiqué de presse de The Home Depot.

* ZATAZ Web TV du 09 novembre revient sur cette attaque informatique pas comme les autres.

Chiffrement, cryptage, Cyber-attaque, Identité numérique, Leak, Piratage

300 000 routeurs exploités par des pirates

Cette semaine, 300 000 routeurs installés dans des foyers ou des petites et moyennes entreprises ont été piratés et utilisés pour réaliser des envois massifs de spams et de malwares. Révélée par l’entreprise Team Cymru, cette attaque particulièrement dangereuse concernerait des routeurs situés partout dans le monde, y compris dans plusieurs pays d’Europe. David Emm, chercheur senior chez Kaspersky Lab, explique que « Les petits appareils réseau qui peuvent s’installer et s’utiliser en quelques minutes, comme les routeurs, sont de plus en plus populaires. Mais cette simplicité est souvent garantit au détriment de la sécurité. La configuration par défaut est-elle pensée pour protéger l’utilisateur ? Peut-on les utiliser sans s’aventurer dans les paramètres et se sentir en sécurité ? Dans la plupart des cas, la réponse est non. Attention, il y a de forte chance que le nombre de 300.000 ne soient qu’une goûte d’eau dans la mesure ou d’autres groupes de pirates ont pu exploiter la faille sans que personne ne s’en soit aperçu.

Plusieurs éléments rendent ses appareils vulnérables (les marques D-Link, Micronet, Tenda, TP-Link, pour les plus connues, ont été la cible de l’attaque, ndr datasecuritybreach.fr) : D’abord l’utilisation d’un mot de passe faible, ou le non-renouvellement des mots de passe. Une configuration par défaut non sécurisée, qui permet aux équipes de support technique du fabricant d’accéder au réseau ; Les vulnérabilités du firmware & les erreurs dans l’implémentation des services ; Le manque de connaissance des utilisateurs et des vendeurs, l’absence de prise de conscience des risques.

À cause de tous ces éléments, les modems et routeurs sont des cibles faciles pour les cybercriminels. Contrôler un routeur permet à la fois de surveiller de façon permanente et transparente le réseau, de voler des données et de rediriger les utilisateurs vers des sites malveillants. D’autre part, ces appareils sont la solution idéale pour qui souhaite cacher un malware qui pourra par la suite infecter tous les ordinateurs connectés ou construire une réseau botnet.  Quant à la raison qui se cache derrière ces attaques, elle ne change pas : l’argent.

Pour rappel, les conséquence de l’accès non autorisé à un routeur sont : Le contrôle du trafic réseau ; La capacité d’espionner les échanges/conversations VoIP ; Le vol des clés WEP/WPA ; La possibilité de modifier la configuration, changer ou réinitialiser les mots de passe ; Exposer les réseaux internes sur le WAN ; Risque de backdoors (redirection de ports) ou encore la modification des réglages DNS (drive-by pharming).

Etes-vous victimes ?

Une fois qu’un périphérique a été compromis, les pirates modifient les paramètres DNS. Ainsi toutes les demandes passent par les serveurs qu’ils contrôlent. Cela permet aux pirates de détourner des sessions à leur guise. Il vous faut découvrir si vos paramètres DNS ont été changés. Le meilleur moyen est de vous connecter à votre appareil via l’interface d’administration et de vérifier les paramètres DNS. Les malveillants ont réorientés  les DNS vers les adresses IP 5.45.75.11 et 5.45.76.36. Donc si vous voyez ces adresses dans votre administration, vous avez un sérieux problème !

Cyber-attaque, Cybersécurité, DDoS

Recrudescence des attaques de DNS

Un commentaire

Recrudescence des attaques de DNS : de la nécessité de repenser ses stratégies de sécurité par Rodolphe Moreno, Directeur Général France d’Infoblox pour DataSecurityBreach.fr.

Le DNS est un canal de communication à la fois fiable et furtif, ce qui en fait un vecteur idéal pour les programmeurs mal intentionnés. L’infrastructure DNS conditionne l’accès au Web : il est impossible d’accéder à un domaine Internet quand le serveur DNS qui l’administre est en panne. Commençant à entrevoir les opportunités potentielles de ces failles, les pirates se sont mis à concevoir des programmes malveillants qui exploitent les DNS pour communiquer avec des bot masters afin d’accomplir diverses activités frauduleuses. Une nouvelle génération de botnets et de menaces persistantes avancées (Advanced Persistent Threats, APT) est ainsi née, qui utilise les DNS pour infecter des machines et les contrôler, lancer des attaques réseau sophistiquées ou couvrir des activités criminelles.

Quantité de réseaux sont chaque jour piratés via les DNS, cibles faciles pour les cybercriminels car accessibles et très peu sécurisés. Ils figurent parmi les rares services quasi systématiquement autorisés à traverser les pare-feux, la plupart du temps par des proxies DNS locaux désignés. Par ailleurs, la moindre intensité du trafic DNS, au regard du trafic Web ou des e-mails, explique aussi qu’il est moins rigoureusement filtré.

Il est essentiel, désormais, que les entreprises intègrent la protection des systèmes de noms de domaine dans leur stratégie de sécurité.

Nous avons donc voulu consacrer cet article aux principaux vecteurs de menace des DNS et aux solutions dont disposent les décideurs IT pour renforcer la sécurité des réseaux de leur entreprise et de leurs fournisseurs de services.

On distingue généralement deux types d’attaques :

· celles qui visent à provoquer une interruption de services DNS, telles que les attaques par déni de service / déni de service distribué (Denial of Service, DOS / Distributed Denial of Service, DDOS), empoisonnement de cache, manipulation de réponses ou encore interception (Man-inthe- Middle, MITM) ;

· et celles qui exploitent indirectement les DNS, comme les attaques par botnets, détournement de noms de domaine, APT ou détournement de DNS (tunneling). Les principaux vecteurs utilisés par les cybercriminels : Empoisonnement de cache : l’attaquant envoie de fausses réponses DNS à un résolveur DNS, lequel les stocke dans le cache DNS pendant la durée de vie prédéfinie. L’ordinateur considère que le serveur DNS empoisonné est légitime et incite alors l’utilisateur à télécharger, sans le savoir, des contenus malveillants.

Exploitation d’anomalies dans le protocole DNS : l’attaquant envoie des requêtes ou réponses DNS mal formées au serveur DNS visé afin d’exploiter les anomalies d’implémentation du protocole du logiciel du serveur. Cette technique permet de déclencher des dénis de service, d’empoisonner le cache ou de compromettre les serveurs ciblés.

Redirection de DNS (MITM) : le protocole DNS sur UDP étant sans état, il est vulnérable aux attaques MITM, de type DNS Changer, DNS Replay ou redirection illégitime, principalement utilisées à des fins de hacktivisme, de phishing, de défacement de sites Web ou de vol de données.

Détournement de DNS (DNS Tunneling) : l’attaquant exploite le DNS tel un canal caché pour contourner les mécanismes de sécurité classiques. Les données sortantes et entrantes communiquées sont respectivement encapsulées dans des requêtes et réponses DNS. Le programme malveillant installé sur un hôte peut alors contacter son opérateur (le serveur de commande et de contrôle) et transférer les données dérobées ou exécuter des commandes sur l’hôte sans être détecté.

Détournement de noms de domaine : l’attaquant dirige l’utilisateur vers un domaine piraté imitant un domaine légitime, généralement celui d’une institution financière ou d’une agence de voyage, afin de recueillir frauduleusement des données sensibles, comme des identifiants et codes d’accès, des numéros de sécurité sociale, des codes PIN ou les numéros de cartes de paiement.

DOS / DDOS : ces attaques ont gagné en ampleur, en rapidité et en sophistication en 2012. Il en existe principalement deux variantes : · celles qui ciblent directement les serveurs d’infrastructure DNS, elles incluent également les attaques récursives, par falsification d’adresse source et par saturation de serveurs DNS, déclenchées par les botnets ; · celles qui utilisent un serveur DNS pour lancer des attaques de type DDOS par amplification ou par réflexion. L’attaquant transmet de fausses requêtes au serveur DNS pour qu’il envoie massivement des réponses DNS non sollicitées à la machine visée. Il peut également envoyer de petites requêtes DNS à plusieurs serveurs DNS pour lancer discrètement une attaque DDOS massive par amplification.

Fast Flux : le fast flux consiste à modifier rapidement et fréquemment l’adresse IP d’un hôte en raccourcissant la durée de vie des enregistrements DNS. Le domain fluxing consiste quant à lui à attribuer plusieurs noms de domaine complets (Fully Qualified Domain Names, FQDN) à une même adresse IP, celle du serveur de commande et de contrôle (C&C).

Menaces persistantes avancées (Advanced Persistent Threats, APT) : ces attaques consistent à accéder à un réseau sans y être autorisé et sans être détecté pendant de longues périodes. Comme leur nom l’indique, les APT sont des programmes malveillants avancés, persistants par nature, entièrement dédiés à un objectif spécifique. Parmi ceux-ci figurent Conficker A/B/C, Torpig, Kraken ou encore TDSS/TLD4, plus récent, qui exploitent des DNS pour communiquer avec des serveurs C&C distants afin de collecter des codes malveillants et instructions pour mener à bien leurs attaques.

Vous l’aurez compris : les vecteurs d’attaques de DNS sont si nombreux et variés qu’une seule technologie ne saurait les contrer tous. La protection complète de l’infrastructure et des services DNS suppose donc une stratégie de sécurité fondée sur plusieurs mécanismes de défense : des pare-feu DNS (systèmes qui analysent le trafic en quête de menaces, détectent les anomalies et protègent le réseau en temps réel contre les domaines malveillants) ; la mise en œuvre de DNSSEC (signature numérique des enregistrements DNS) ; des systèmes de protection contre les DOS/DDOS, des systèmes de prévention des fuites de données et d’autres protocoles, des systèmes dédiés de détection des APT (mécanismes heuristiques et autres techniques d’analyse comportementale permettant de déceler les programmes APT qui utilisent le DNS pour communiquer avec des serveurs C&C).

Les serveurs DNS apparaissent donc comme des cibles de choix pour les cybercriminels et programmeurs mal intentionnés, qui y voient un moyen simple de contourner les mécanismes de défense traditionnels pour satisfaire leurs ambitions de guerre virtuelle, d’espionnage industriel, de hacktivisme, de soutien ou de contestation politique, de vol de données, de distribution de spams ou encore d’attaques DDOS coordonnées. Les pare-feux de nouvelle génération n’offrent pas une sécurité suffisante. Seule une stratégie de défense multidimensionnelle permettra aux entreprises de se prémunir contre ces programmes malveillants et les techniques modernes qui contournent les dispositifs de sécurité grâce au DNS.

Cyber-attaque, Cybersécurité, DDoS

Eviter les Attaques DDoS

Une stratégie de défense multi-couches, une protection du serveur DNS et une visibilité sur l’ensemble de l’infrastructure IT épargneront les entreprises des conséquences et des coûts engendrés par des attaques par déni de services. (Par Christophe Auberger, Responsable Technique chez Fortinet pour Data Security Breach).

Au début, les attaques DDoS étaient de simples attaques par déni de services lancées à partir d’un seul ordinateur. Cependant, avec la prolifération des botnets, elles ont évolué pour devenir l’une des plus grandes menaces dans le monde de la sécurité. Verizon, dans son rapport annuel sur la Violation des Données 2012 (2012 Data Breach Investigations Report), a caractérisé ces attaques comme étant “plus effrayantes que les autres menaces, qu’elles soient réelles ou supposées.”

Le cabinet de recherche Stratecast dans une récente étude a également constaté que les attaques DDoS augmentent de 20% à 45% par an, les attaques DDoS applicatives connaissant, elles, une croissance à trois chiffres. Stratecast a ajouté que les attaques DDoS représentent l’un des outils de prédilection des hackers, souvent dans le cadre d’une stratégie d’attaques multi-techniques.

Plus récemment, les chercheurs ont constaté que les attaques DDoS ont évolué non seulement en termes de fréquence, mais également en termes de bande passante et de durée. Il y a 10 ans, par exemple, des attaques de 50 Gbps étaient observées quelques fois par an seulement. Dorénavant, de telles attaques peuvent se produire presque toutes les semaines.

En outre, les attaques sont plus intelligentes parce qu’elles sont dorénavant mieux maitrisées. Plutôt que de lancer un flux automatisé de données, les assaillants commencent une opération, puis peuvent adapter le type d’attaques ou la cible en fonction du résultat.

Les attaques DDos vont continuer à proliférer alors que de plus en plus d’entreprises autorisent les appareils mobiles au sein de leur réseau. L’équipe de recherche des menaces FortiGuard Labs de Fortinet a constaté que les botnets sur mobiles, tel que Zitmo, ont de nombreuses caractéristiques et fonctionnalités identiques aux traditionnels botnets sur PC. FortiGuard Labs prévoit qu’en 2013, de nouvelles formes d’attaques par déni de services apparaitront, tirant profit à la fois des appareils mobiles et PC.

Et, elles représentent d’énormes pertes. En plus des pertes de revenus dues à l’inaccessibilité, les entreprises doivent supporter les coûts liés à la remise en service et à l’analyse IT, la perte du rendement, les sanctions financières résultant des accords de SLA non tenus, ou encore à l’atteinte à la réputation de la marque.

L’évolution des attaques DDoS souligne l’urgence pour les entreprises à adopter une stratégie de sécurité appropriée. Il y a des mesures proactives que les organisations peuvent prendre pour renforcer les défenses et réduire le risque d’attaques. Plutôt que de viser à supprimer entièrement le trafic DDoS, une stratégie DDoS doit chercher à maintenir les services – en particulier les services critiques – avec un minimum d’interruption. Pour ce faire, les entreprises peuvent commencer par évaluer l’environnement réseau et définir un plan d’intervention. Entres autres, le plan devrait comprendre des efforts de remise en état et de sauvegarde, une surveillance supplémentaire, et des moyens pour restaurer le service aussi rapidement et efficacement que possible.

Pour la protection proactive, les trois principales étapes à suivre sont l’implémentation d’une stratégie de défense multi-couches, la protection des serveurs DNS et autres infrastructures critiques, ainsi que le maintien de la visibilité et du contrôle sur l’infrastructure IT.

Défense Multi-Couches

En matière de protection DDoS, une stratégie multi-couches est essentielle, impliquant des solutions dédiées sur sites, conçues pour combattre et minimiser les menaces provenant de n’importe quelle partie du réseau. Ces outils doivent fournir des techniques empêchant l’usurpation tout en permettant l’authentification des hôtes, le positionnement de seuils spécifiques pour les applications et le trafic, la vérification des protocoles et états, la mise en application des gabarits, les contrôles d’accès basés sur la géolocalisation et les listes noires/blanches.

Lorsqu’elles envisagent des solutions dédiées DDoS, les organisations doivent s’assurer que celles-ci leur permettront de détecter également les attaques DDoS applicatives et de bloquer efficacement tous les modèles et techniques des attaques DDoS, qu’ils soient classiques, génériques ou personnalisés. Egalement, ces solutions doivent « apprendre » à reconnaitre les types de comportement basés sur le flux du trafic, qu’ils soient acceptables ou anormaux. Ce profilage de trafic est essentiel car cela permet de détecter et de freiner plus rapidement les menaces tout en réduisant les faux positifs.

Pour une meilleure efficacité opérationnelle, les entreprises doivent également envisager des solutions DDoS qui offrent des fonctionnalités de virtualisation et de géo-localisation avancées.

Grâce à la virtualisation, les administrateurs des politiques peuvent établir et surveiller plusieurs domaines indépendants de politiques dans un seul dispositif, empêchant les attaques affectant un segment de réseau d’impacter les autres. Ce mécanisme est également efficace dans l’escalade de la défense – plutôt que de s’appuyer sur un seul ensemble de politiques, les administrateurs IT peuvent en définir plusieurs à l’avance, ce qui permet d’appliquer un ensemble de politiques plus rigoureux si les précédentes sont insuffisantes.

Les technologies de géolocalisation, d’autre part, permettent aux entreprises de bloquer le trafic malveillant en provenance de sources inconnues ou étrangères et suspectes. Cela réduit la consommation d’énergie et de charges sur les serveurs backend en éliminant le trafic des régions qui ne sont pas concernées par le marché et la couverture géographique de l’organisation.

Protéger les serveurs DNS

Dans la cadre d’une stratégie globale défensive, les organisations doivent protéger leurs infrastructures et actifs critiques. De nombreuses entreprises maintiennent leurs propres serveurs DNS pour assurer la disponibilité Web, cependant ces serveurs sont souvent les premiers systèmes ciblés lors d’une attaque DDoS. Une fois que les serveurs DNS sont touchés, les assaillants peuvent facilement stopper les opérations Web d’une organisation, créant une situation de déni de services. Les solutions de protection DNS disponibles sur le marché aujourd’hui peuvent protéger contre les mécanismes d’intrusion utilisant l’authentification des transactions ou l’application de ports sources aléatoires.

Maintenir le Contrôle et la Visibilité sur l’Infrastructure

Les organisations doivent rester vigilantes et surveiller leurs systèmes avant, pendant et après une attaque. Ce n’est un secret pour personne, avoir une représentation globale de l’environnement IT permet aux administrateurs de détecter les aberrations du trafic réseau et de détecter les attaques plus rapidement, tout en leur fournissant des analyses et renseignements pour mettre en œuvre des techniques de prévention et de minimisation des attaques appropriées. Les meilleures défenses intègreront une surveillance continue et automatisée, avec des systèmes d’alertes qui sonnent l’alarme et déclenchent le plan d’intervention en cas de détection de trafic DDoS.

Il est important d’avoir une visibilité et un contrôle précis sur le réseau. Cette visibilité sur le comportement réseau aide les administrateurs à trouver la cause de l’attaque et à bloquer le trafic des flux tout en permettant au trafic légitime de passer librement. Cela permet également aux administrateurs d’analyser les attaques de manière historique et en temps réel dans le cadre d’enquêtes approfondies. En outre, les caractéristiques avancées de suivi des sources peuvent aider les efforts de défense en localisant l’adresse d’une attaque non-usurpée, et peuvent même contacter l’administrateur du domaine du contrevenant.

Attirer l’Attention des Entreprises

Les attaques DDoS – comme d’autres menaces de sécurité – continueront de croitre et seront plus effrénées dans le futur. La nature évolutive des technologies DDoS obligera les entreprises à changer de mode de pensée, impliquant une plus grande prévoyance et des défenses plus proactives. Par conséquent, les organisations doivent renforcer leurs plans d’intervention et évaluer leur infrastructure réseau vis-à-vis des menaces DDoS actuelles. Cela passe par le renforcement des défenses des serveurs critiques et par la priorisation des données. Il faut également implémenter des moyens de gestion et de surveillance pour une compréhension globale de l’ensemble du réseau. Enfin, les administrateurs IT devraient être capables de mettre en oeuvre des mesures de protection qui identifient rapidement la source de la menace, minimisent l’impact de l’attaque, et rétablissent le service dès que possible.

Ce ne sont qu’avec ces mesures que les entreprises cesseront de s’inquiéter des attaques DDoS, aussi paralysantes soient-elles,  et pourront se recentrer sur leur activité.