Internet
Internet mondial est-il en danger?
Fin février 2019, la Société Internet pour les noms et les numéros attribués (ICANN), l'organisation qui gère les adresses IP et les noms de domaine utilisés sur le Web, a émis un avertissement concernant les risques d'attaques systémiques sur Internet. Voici ce que vous devez savoir sur les enjeux.
Quel est le DNS?
Le service de nom de domaine (DNS) lie un nom de domaine (par exemple, le domaine ameli.fr pour l'assurance maladie française) à une adresse IP (protocole Internet), dans ce cas "31.15.27.86"). Il s’agit maintenant d’un service essentiel, car il facilite la mémorisation des identifiants de services numériques sans avoir leur adresse. Cependant, comme de nombreux types de protocoles antérieurs, il a été conçu pour être robuste, mais non sécurisé.
DNS définit les domaines dans lesquels une autorité sera libre de créer des noms de domaine et de les communiquer en externe. L'avantage de ce mécanisme est que l'association entre l'adresse IP et le nom de domaine est étroitement gérée. L'inconvénient est que plusieurs requêtes sont parfois nécessaires pour résoudre un nom, en d'autres termes, l'associer à une adresse.
De nombreuses organisations qui offrent des services Internet ont un ou plusieurs noms de domaine, qui sont enregistrés auprès des fournisseurs de ce service d'enregistrement. Ces fournisseurs de services sont eux-mêmes inscrits, directement ou indirectement, à l’ICANN, une organisation américaine chargée d’organiser l’Internet. En France, l’organisation de référence est l’AFNIC, qui gère le domaine ".fr".
Nous nous référons souvent à un nom de domaine pleinement qualifié, ou FQDN. En réalité, Internet est divisé en domaines de premier niveau (TLD). Les domaines américains initiaux ont permis de diviser les domaines par type d’organisation (commerciale, universitaire, gouvernementale, etc.). Puis des domaines nationaux comme ".fr" sont rapidement apparus. Plus récemment, l'ICANN a autorisé l'enregistrement d'une grande variété de domaines de premier niveau. Les informations relatives à ces domaines de premier niveau sont enregistrées dans un groupe de 13 serveurs répartis dans le monde entier afin de garantir la fiabilité et la rapidité des réponses.
Le protocole DNS établit la communication entre la machine de l'utilisateur et un serveur de nom de domaine (DNS). Cette communication permet à ce serveur de noms d’être interrogé pour résoudre un nom de domaine, en d’autres termes, obtenir l’adresse IP associée à un nom de domaine. La communication permet également d’obtenir d’autres informations, telles que la recherche d’un nom de domaine associé à une adresse ou le serveur de messagerie associé à un nom de domaine afin d’envoyer un message électronique. Par exemple, lorsque nous chargeons une page dans notre navigateur, celui-ci effectue une résolution DNS pour trouver l'adresse correcte.
En raison de la nature distribuée de la base de données, le premier serveur contacté ne connaît souvent pas l'association entre le nom de domaine et l'adresse. Il contactera ensuite d'autres serveurs pour obtenir une réponse, via un processus itératif ou récursif, jusqu'à ce qu'il ait interrogé l'un des 13 serveurs racine. Ces serveurs constituent le niveau racine du système DNS.
Pour empêcher une prolifération de requêtes, chaque serveur DNS stocke localement les réponses reçues qui associent un nom de domaine et une adresse pendant quelques secondes. Ce cache permet de répondre plus rapidement si la même demande est faite dans un bref intervalle.
Protocole vulnérable
Le DNS est un protocole à usage général, en particulier au sein des réseaux d’entreprise. Il peut donc permettre à un attaquant de contourner ses mécanismes de protection pour communiquer avec les machines compromises. Cela pourrait, par exemple, permettre à l'attaquant de contrôler les réseaux de robots (botnets). La réponse de la défense repose sur un filtrage plus spécifique des communications, nécessitant par exemple l'utilisation systématique d'un relais DNS contrôlé par l'organisation victime. L'analyse des noms de domaine contenus dans les requêtes DNS, associées à des listes noires ou blanches, permet d'identifier et de bloquer les requêtes anormales.
Le protocole DNS permet également des attaques par déni de service. En fait, n'importe qui peut envoyer une requête DNS à un service en prenant en charge une adresse IP. Le serveur DNS répondra naturellement à la fausse adresse. L'adresse est en fait victime de l'attaque, car elle a reçu du trafic indésirable. Le protocole DNS permet également de mener des attaques d'amplification, ce qui signifie que le volume de trafic envoyé par le serveur DNS à la victime est beaucoup plus important que le trafic envoyé par l'attaquant au serveur DNS. Il devient donc plus facile de saturer le lien réseau de la victime.
Le service DNS lui-même peut également être victime d'une attaque par déni de service, comme ce fut le cas pour DynDNS en 2016. Cela a déclenché des défaillances en cascade, certains services dépendant de la disponibilité du DNS pour fonctionner.
La protection contre les attaques par déni de service peut prendre plusieurs formes. Le plus couramment utilisé aujourd'hui est le filtrage du trafic réseau afin d'éliminer l'excès de trafic. Anycast est également une solution de plus en plus utilisée pour répliquer les services attaqués si nécessaire.
Empoisonnement de cache
Une troisième vulnérabilité largement utilisée dans le passé consiste à attaquer le lien entre le nom de domaine et l'adresse IP. Cela permet à un attaquant de voler l'adresse d'un serveur et d'attirer le trafic lui-même. Il peut donc "cloner" un service légitime et obtenir les informations sensibles des utilisateurs induits en erreur: noms d'utilisateur, mots de passe, informations de carte de crédit, etc. Ce processus est relativement difficile à détecter.
Comme mentionné, les serveurs DNS ont la capacité de stocker les réponses aux requêtes qu'ils ont émises pendant quelques minutes et d'utiliser ces informations pour répondre directement aux requêtes suivantes. L’attaque par empoisonnement de cache permet à un attaquant de falsifier l’association dans le cache d’un serveur légitime. Par exemple, un attaquant peut inonder le serveur DNS intermédiaire avec des requêtes et le serveur acceptera la première réponse correspondant à sa requête.
Les conséquences ne durent que peu de temps, les requêtes adressées au serveur compromis sont détournées vers une adresse contrôlée par l'attaquant. Comme le protocole initial ne comprend aucun moyen de vérifier l’association adresse de domaine, les clients ne peuvent pas se protéger contre l’attaque.
Cela se traduit souvent par des fragments Internet, les clients communiquant avec le serveur DNS compromis étant redirigés vers un site malveillant, tandis que les clients communiquant avec d'autres serveurs DNS sont envoyés au site d'origine. Pour le site d'origine, cette attaque est pratiquement impossible à détecter, sauf en cas de diminution des flux de trafic. Cette diminution du trafic peut avoir des conséquences financières importantes pour le système compromis.
Certificats de sécurité
Le DNS sécurisé (DNSSEC, Domain Name System Security Extensions) a pour but d'empêcher ce type d'attaque en permettant à l'utilisateur ou au serveur intermédiaire de vérifier l'association entre le nom de domaine et l'adresse. Il repose sur l'utilisation de certificats, tels que ceux utilisés pour vérifier la validité d'un site Web (le petit cadenas qui apparaît dans la barre Web d'un navigateur). En théorie, une vérification du certificat suffit pour détecter une attaque.
Cependant, cette protection n'est pas parfaite. Le processus de vérification des associations "adresse IP de domaine" reste incomplet. Cela est dû en partie au fait que plusieurs registres n’ont pas mis en place l’infrastructure nécessaire. Bien que la norme elle-même ait été publiée il y a près de quinze ans, nous attendons toujours le déploiement de la technologie et des structures nécessaires. L’émergence de services tels que Let's Encrypt a permis de généraliser l’utilisation des certificats, indispensables à la sécurité de la navigation et à la protection du DNS. Cependant, l'utilisation de ces technologies par les registres et les fournisseurs de services reste inégale. certains pays sont plus avancés que d'autres.
Bien que des vulnérabilités résiduelles existent (telles que des attaques directes sur des registres pour obtenir des domaines et des certificats valides), DNSSEC propose une solution pour le type d'attaques récemment dénoncé par l'ICANN. Ces attaques reposent sur la fraude DNS. Pour être plus précis, ils s'appuient sur la falsification des enregistrements DNS dans les bases de registres, ce qui signifie que ces registres sont compromis ou qu'ils sont perméables à l'injection de fausses informations. Cette modification de la base de données d'un registre peut être accompagnée de l'injection d'un certificat, si l'attaquant l'a prévu. Cela permet de contourner DNSSEC, dans le pire des cas.
Cette modification des données DNS implique une fluctuation des données d'association adresse IP-domaine. Cette fluctuation peut être observée et éventuellement déclencher des alertes. Il est donc difficile pour un attaquant de rester complètement inaperçu. Mais comme ces fluctuations peuvent se produire régulièrement, par exemple lorsqu'un client change de fournisseur, le superviseur doit rester extrêmement vigilant afin de poser le bon diagnostic.
Institutions ciblées
Dans le cas des attaques dénoncées par l'ICANN, il y avait deux caractéristiques importantes. Tout d'abord, ils ont été actifs pendant plusieurs mois, ce qui implique que l'attaquant stratégique était déterminé et bien équipé. Deuxièmement, ils ont ciblé efficacement les sites institutionnels, ce qui indique que l'attaquant était fortement motivé. Il est donc important d'examiner de près ces attaques et de comprendre les mécanismes mis en place par les attaquants afin de rectifier les vulnérabilités, probablement en renforçant les bonnes pratiques.
La promotion par l'ICANN du protocole DNSSEC soulève des questions. Il est clair que cela doit devenir plus répandu. Cependant, rien ne garantit que ces attaques auraient été bloquées par DNSSEC, ni même qu’elles auraient été plus difficiles à mettre en œuvre. Une analyse supplémentaire sera nécessaire pour mettre à jour l'état de la menace de sécurité pour le protocole et la base de données DNS.
Briefs: La conférence Internet de l'ICANN s'ouvre en N.Z.
Cet article est republié de The Conversation sous une licence Creative Commons. Lire l'article original.
Citation:
Fraude de nom de domaine: l'Internet mondial est-il en danger? (8 octobre 2019)
récupéré le 8 octobre 2019
de https://techxplore.com/news/2019-10-domain-fraud-global-internet-danger.html
Ce document est soumis au droit d'auteur. Mis à part toute utilisation équitable à des fins d’étude ou de recherche privée, aucun
partie peut être reproduite sans autorisation écrite. Le contenu est fourni seulement pour information.
Sommaire