La plupart des attaques applicatives contre les entreprises passent aujourd’hui par le système de noms de domaines (DNS). Cela est d’autant plus frappant qu’en matière de sécurité du réseau, l’inspection du port 53 est souvent négligée, alors même que celui-ci est utilisé pour le trafic DNS mais aussi, de plus en plus, pour la transmission de données. Afin de prévenir la perte de données sensibles (ainsi qu’une amende en lien avec l’obligation de signaler les fuites de données[1]), il est nécessaire de prendre des mesures supplémentaires.
Des attaques de plus en plus sophistiquées
Les attaques sur le DNS sont de formes et de tailles très diverses. Il est désormais le premier service applicatif ciblé par les attaques par déni de service distribué (DDoS) dont une majorité d’opérateurs et fournisseurs de services sont régulièrement victimes à travers le monde. Dans les faits, les attaques DDoS visent le serveur DNS externe dans le but de rendre inaccessible le site web ou les services d’une entreprise. C’est ce qui est arrivé au plus grand câblo-opérateur néerlandais Ziggo en août 2015, privant de nombreux clients de leur accès Internet. Plus récemment, plusieurs sites de l’audiovisuel public aux Pays-Bas ont également été paralysés par une attaque DDoS massive.
Ces dernières années, nous observons des méthodes d’attaque de plus en plus sophistiquées. Il s’agit par exemple d’attaques par amplification DNS, consistant à démultiplier les réponses d’un serveur DNS à une requête. C’est de ce type d’attaque qu’a été victime en 2013 l’organisation de lutte contre le spam Spamhaus[2]. Autre exemple : les attaques par « redirection » prennent le contrôle du serveur DNS externe, créent une copie du site web et installent leur propre serveur pour y attirer leurs victimes.
Le DNS, une cible de choix pour le vol de données
Nous voyons également de plus en plus l’infrastructure DNS interne détournée par des malwares qui s’en servent pour transmettre à leurs auteurs des fichiers piratés. Dans une récente enquête portant sur la sécurité du DNS :
- 46 % des participants déclarent avoir été victimes d’une exfiltration de données,
- Et 45 % ont eu affaire à un tunnel DNS empruntant le port 53 pour transmettre des données vers l’extérieur.
Un cas médiatisé est celui de l’attaque avancée contre le distributeur américain Target, au cours de laquelle un malware implanté dans les systèmes de point de vente avait réussi à exfiltrer des données via le port 53.
Nécessité de mesures supplémentaires
Le problème des firewalls classiques est qu’ils laissent le port 53 ouvert afin de ne pas bloquer les communications DNS. La protection contre les attaques DNS n’est donc pas intégrée dans les solutions de sécurité déployées par la plupart des entreprises. Pour éviter des phénomènes tels que le tunnel DNS, il est souhaitable que les mesures de sécurité appliquées comportent les éléments suivants :
- Identification des techniques d’exfiltration des données ;
- Possibilité de mettre en liste noire les serveurs sur lesquels est reçu un contact malveillant ;
- Mise en place d’un firewall DNS qui surveille les fuites de données ;
- Analyse en temps réel pour la détection des anomalies dans les requêtes DNS ;
- Capacité de bloquer les requêtes DNS malveillantes de sorte que des malwares ne puissent pas passer par des communications DNS et que les postes infectés soient isolés.
Outre ces mesures techniques, il est essentiel que les entreprises aient leurs DNS entièrement sous contrôle. Il importe ainsi de bien définir et documenter les structures et les processus en rapport avec les services DNS. Par ailleurs, il est également crucial de savoir qui est responsable de quoi. Il est clair que la responsabilité des services DNS incombe à l’équipe réseau. En revanche, on ne sait pas qui est responsable au sein de l’entreprise de la protection de ces services, or il convient absolument le déterminer pour pouvoir répondre plus efficacement aux incidents.
[1] https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken
[2] http://arstechnica.com/information-technology/2013/03/how-spamhaus-attackers-turned-dns-into-a-weapon-of-mass-destruction/