Internet serait-il en proie à une vague d’attaques inédites du système de noms de domaine ?
Internet serait-il en proie à une vague d’attaques inédites du système de noms de domaine ?
C'est un risque selon l'ICANN
L’Internet mondial et ses noms de domaines seraient-ils sous le coup d’une attaque inédite par des pirates non identifiés ? L’information circule depuis ce vendredi qu'Internet est la cible d’attaques visant à modifier des noms de domaines ou les adresses des sites Web pour les pirater. D’après 24Matins, l’ICANN, l’organisme mondial qui attribue les adresses Internet, a fait une annonce dans la journée d’hier selon laquelle l’Internet mondial et ses noms de domaines sont sous le coup d’une attaque inédite par des pirates non identifiés. L'ICANN, c’est aussi une organisation reconnue d'utilité publique rassemblant des participants du monde entier qui œuvrent à la préservation de la sécurité, la stabilité et l'interopérabilité de l'Internet.
L’ICANN a expliqué par le biais d’un de ses responsables, David Conrad, que ces pirates s’attaquent et ce, depuis un moment déjà (2017 pour les premiers constats) à l’infrastructure Internet elle-même. Autrement dit, ces pirates s’attaquent au système de noms de domaine DNS (Domain Name System) qui permet d’établir la liaison entre un ordinateur et un site Internet. On parle de DNSpionnage pour désigner ce type d’attaque. Pour l’heure, il s’agit d’une campagne inédite et à très grande échelle qui se serait extraordinairement intensifiée ces dernières semaines. Ces attaques, à en croire les précisions de l’ICANN, ciblent particulièrement certaines régions et installations rigides dans le monde.
Selon certains experts en sécurités qui ont commenté ces récentes publications de l’organisme mondial, les pirates ont pour cibles principales certains gouvernements en Europe et au Moyen-Orient, des bases de services de renseignements ou de police, des compagnies aériennes ou encore des installations pétrolières. Selon David Conrad, il y a déjà eu des attaques ciblées de ce type, mais jamais de cette envergure. Rappelons qu'en mars 2013, le bruit avait couru qu’Internet venait d’être victime de la grande attaque de son histoire dans un événement semblable à celui-ci. En effet, les assauts DDoS vers Spamhaus avaient entraîné un ralentissement du trafic mondial sur Internet.
La méthode utilisée par les cybercriminels est connue sous le nom de réflexion DNS qui consiste à envoyer des demandes usurpées aux résolveurs DNS dits ouverts (pouvant être interrogés par n'importe qui sur Internet) qui semblent provenir de l’adresse IP de la victime visée. Les assaillants ont généralement rédigé leurs demandes afin que les réponses renvoyées à la victime par les serveurs interrogés soient très importantes. Ce type d'attaque peut être atténué par la victime ou le fournisseur, mais dans ce cas particulier et en raison de sa taille, l'attaque s’est également propagée sur le reste d'Internet en cours de route. L’attaque qui a été revendiquée par le groupe Stophaus Movement semble aujourd’hui s’être arrêtée. Le groupe a justifié son action en disant que Spamhaus abusait de sa position de force.
Parlant du mode opératoire employé par les pirates pour mettre à exécution leurs attaques, l’ICANN explique qu’il consiste à remplacer les adresses des serveurs autorisés par des adresses des machines contrôlées par les assaillants. Cela leur permet d’obtenir des milliers de données notamment des adresses mail et des mots de passes, etc. Jusqu’à présent, aucune trace n’a permis d’identifier l’origine exacte des attaquants, mais d’autres ont leurs propres théories ou leurs petites idées. D’après Ben Read, il y a des preuves qui montrent que ces attaques ciblées proviennent de l’Iran. Pour un autre expert, Adam Meyers de la firme CrowdStrike, les hackers cherchaient notamment à voler des mots de passe au Liban et aux Émirats arabes unis.
À la question de savoir quels sont les dangers pour Internet et son infrastructure, l’ICANN a répondu que les risques peuvent se montrer très délicats. Adam Meyers a dit qu’avec cet accès, les hackers pourraient décider d’arrêter le fonctionnement de certains pans d’Internet, mais pour l’instant il semblerait qu’ils se limitent juste d’intercepter les données et d’écouter les gens. Sur Reddit, certains désignent les Russes, les Coréens ou en encore les Chinois comme responsables des attaques et d’autres déplorent le fait qu’il n'y a aucun moyen pour une tierce personne de savoir si le service DNS qu'elle utilise a été compromis ou non par ce type d’attaque. D’autres commentaires également cherchent à savoir quelles sont les initiatives envisageables ou déjà mises en œuvre pour contrer ces attaques.
Avec l’intensification récente des attaques, l’ICANN estime qu’il y a un risque en cours important sur des parties importantes de l’infrastructure des noms de domaine. Ainsi donc, il appelle les responsables informatiques à prendre des mesures adéquates. Précisément, il appelle au déploiement du protocole de protection appelé “Domain Name System Security Extensions” (DNSSEC). Pour information, DNSSEC est un protocole standardisé par l'IETF permettant de résoudre certains problèmes liés au protocole DNS. Les spécifications sont publiées dans la RFC 4033 et les suivantes. Contrairement à d'autres protocoles comme SSL, il ne sécurise pas juste un canal de communication, mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu'un serveur intermédiaire est trahi.
David Conrad explique également qu’il ne s’agit pas de la seule alternative pour contrecarrer ce problème, mais pour l’heure cela constitue un début de protection. « Nous devons améliorer la sécurité globale du DNS si nous voulons avoir un espoir d’empêcher ce genre d’attaques », conclut-il. L’ICAN fait remarquer à la fin que les attaques informatiques de toute ampleur et de toute nature se multiplient avec une vitesse exponentielle depuis ces dernières années et principalement cette dernière décennie. L’enjeu est de taille et la sécurité d’Internet est remise en cause aujourd’hui plus que jamais.
FireEye, une entreprise de sécurité informatique américaine, a aussi indiqué dans un billet de blog que ses équipes de renseignement et de réponse aux incidents ont identifié une vague de détournement de DNS qui a touché des dizaines de domaines appartenant à des entités gouvernementales, de télécommunications et d'infrastructure Internet au Moyen-Orient, en Afrique du Nord, en Europe et en Amérique du Nord.
« Bien que nous n'établissions actuellement aucun lien entre cette activité et un groupe de pirate, les recherches initiales suggèrent que l'acteur ou les acteurs responsables ont un lien avec l'Iran. Cette campagne a ciblé les victimes à travers le monde à une échelle presque sans précédent, avec un degré élevé de succès. Nous suivons cette activité depuis plusieurs mois, cartographiant et comprenant les tactiques, techniques et procédures innovantes déployées par l'attaquant. Nous avons également travaillé en étroite collaboration avec les victimes, les organismes de sécurité et les organismes d'application de la loi, dans la mesure du possible, afin de réduire l'impact des attaques ou de prévenir d'autres compromis », écrit FireEye en décrivant trois techniques qu'auraient utilisés les pirates pour arriver à leur fin.
Source : 24Matins, FireEye
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Répondre avec citation
Envoyé par Cassoulatine
Partager