Attaques DNS : l'ICANN émet une mise en garde et appelle à la vigilance (DNSSEC, la solution temporaire...) !

Personne n'y a, sans doute, échappé sur le Web et ses réseaux sociaux : une attaque de grande ampleur serait en cours, par l'entremise de DNS corrompus ou malveillants (détournés)... Il n'en est, heureusement rien, même si l'ICANN préconise fortement une revisite - message aux administrateurs ! - ou un checkup de l'ensemble des DNS gérés.

 

 

Alors, pourquoi y a t-il eu un vent de panique infondé ? Cette propagation hâtive a été du fait du secrétaire d’État chargé du numérique actuel, Mounir Mahjoubi : "ce que les pirates ont réussi à faire est quelque chose de très rare [...] Ils ont piraté l’annuaire et chaque fois que vous mettez l’adresse, au lieu d’aller sur la vraie machine, ils nous amenaient sur une autre machine qui leur appartient [...] vous avez l’impression d’être sur le site […] sauf qu’en fait vous êtes sur la machine de ceux qui vous attaquent [...]  ils peuvent récupérer vos données, ils peuvent les utiliser pour se reconnecter, pour prendre de l’argent", alarme t-il alors qu'il accordait une interview à CNews. En réalité, le secrétaire d’État chargé du numérique faisant, probablement, référence à un billet du chercheur et analyse aguerri sécuritaire Brian Krebs, le 18 Février 2019, qui évoquait une attaque Iranienne "très complexe et de grande ampleur" qui a mis en lumière la subtilisation de données sensibles, l'idée étant d'obtenir de manière illégale des informations sur des organismes, établissements spécifiques (ciblés) : en clair il s'agissait de cyber-espionnage ou, ici, de DNSpionage comme l'a nommé Cisco. Si aucune date originelle précise ne peut être établi, Brian Krebs démontre que la brèche est notable, au moins, depuis Février 2017 et ciblait principalement des gouvernements (Jordanie, Koweït, UAE, Irak, Albanie, Suède, Chypre, Arabie Saoudite, Émirats Arabes...) tout en soulignant que l'extension DNSSEC était active sur seulement 20 % du parc DNS total, dans le monde entier...

 

 

(Source : Dyrk.org)

Une problématique que souligne, également l'ICANN (un organisme non lucratif qui régule Internet en veillant au bon fonctionnement - veille - des IPs et des noms de domaines TLD. C'est un peu le gendarme technique d'Internet) même si l'outil est limitatif : "même s'il ne s'agit pas d'une solution pour tous les problèmes de sécurité de l'Internet, elle permet de garantir que les internautes accèdent à la destination recherchée en empêchant les attaques dites « de l'homme du milieu », où l'internaute est redirigé à son insu vers un site potentiellement malveillant. Les DNSSEC viennent compléter d'autres technologies, comme la sécurité de la couche transport (TLS), utilisée notamment avec HTTPS, qui protège la communication entre l'utilisateur final et le domaine". Dans son billet, Brian Krebs, recommande, en plus du DNSSEC, d'autres outils pour sécuriser ou verrouiller l'accès d'un DNS donné, comme Registry Lock, une veille (monitoring) constante via un tableau de bord gérant les accès-applications et le trafic Web, l'authentification à double-facteur, un gestionnaire de mot de passe (type KeePass) avec un mot de passe maître pour l'ensemble, un check-up des adresses / comptes reliés au DNS donné et des certificats tels que Certificate transparency.

Côté utilisateurs, donc, rien à faire puisque tout se passe à un niveau plus élevé (les administrateurs des sites Web) même si cela n'empêche pas de veiller à regarder deux fois l'url d'un site Web ou tout autre aspect qui ne serait pas dans les habitudes usuelles du site en question (comme demander de l'argent pour se connecter à son compte sur SOSOrdi.net : le site fourni un accès libre et gratuit). Quant à l'ICANN, la prochaine date est fixé au sommet de Kobe, du 9 au 14 Mars prochain, pour la 64ième réunion publique (ICANN64) dont les comptes-rendus seront accessibles en ligne ainsi que les ressources vidéos... A suivre !

 

Pour en savoir plus : le séminaire ICANN64 à Kobe (Japon), du 9 au 14 Mars 2019 (inscription).

 

Source : ICANN - 22 Février 2019 - utilisation des DNSSEC et recommandations face aux attaques DNS man-in-the-middle.