Depuis l’entame de la seconde moitié du mois de février, l’ICANN a prévenu qu’Internet subissait depuis peu des attaques DNS et qu’elles se sont multipliées de façon très critique ces dernières semaines. L’ICANN, l’annuaire central de l’Internet, avait expliqué par le biais d’un de ses responsables, David Conrad, que des pirates s’attaquaient à l’infrastructure Internet elle-même en modifiant la structure de délégation de noms de domaine. Ces attaques ciblent le DNS. Les pirates apportent des modifications non autorisées à la structure de délégation des noms de domaine. De ce fait, ils remplacent les adresses véritables des serveurs par des adresses de machines contrôlées par les attaquants. Ces genres d’attaques sont connu sous le nom d’attaque de type DNSpionnage.
L’ICANN prévient que ces attaques inédites sont à très grande échelle et se serait extraordinairement intensifiée ces dernières semaines. D’autres cibles de ces attaques, à en croire les précisions de l’ICANN, sont certaines régions et installations rigides dans le monde. Selon des experts en sécurités,les cibles principales sont certains gouvernements en Europe et au Moyen-Orient, des bases de services de renseignements ou de police, des compagnies aériennes ou encore des installations pétrolières. Selon David Conrad, il y a déjà eu des attaques ciblées de ce type, mais jamais de cette envergure, comme ce fut le cas en mars 2013. En fait, le bruit avait couru qu’Internet fut la victime d’une attaque sans précédent de toute son histoire. Il était question d’assauts DDoS vers Spamhaus qui avaient entraîné un ralentissement du trafic mondial sur Internet.
Pour cette fois-ci, les dégâts pour Internet et son infrastructure sont jugés très délicats par l’ICANN. Adam Meyers disait qu’avec cet accès, les hackers pourraient décider d’arrêter le fonctionnement de certains pans d’Internet, même si pour l’instant il semble qu’ils se limitent juste à intercepter les données et à écouter les gens. Sur Reddit, certains attribuaient la paternité de ces attaques aux Russes et aux Coréens. Seulement, d’après Ben Read, il y aurait des preuves qui montrent que ces attaques ciblées proviennent de l’Iran. Pour un autre expert, Adam Meyers de la firme CrowdStrike, les hackers cherchaient notamment à voler des mots de passe au Liban et aux Émirats arabes unis. D’autres cependant, déplorent le fait qu’il n’y a aucun moyen pour une tierce personne de savoir si le service DNS qu’elle utilise a été compromis ou non par ce type d’attaque.
Cela amène à poser la question de savoir quelles sont les mesures à prendre pour parer ou contrer ces attaques et protéger l’infrastructure d’Internet. Pour ceci, L’ICANN avait référencé dès le début à quelques mesures que pourrait adopter la communauté Internet et principalement le déploiement du protocole de sécurité DNSSEC. Quelques-uns de ces mesures se présentaient comme suit :
s’assurer que tous les correctifs de sécurité du système ont été examinés et appliqués ;
examiner les fichiers journaux pour un accès non autorisé aux systèmes, en particulier un accès administrateur ;
examiner les contrôles internes sur les accès administrateur («root») ;
vérifier l’intégrité de chaque enregistrement DNS et l’historique des modifications de ces enregistrements ;
imposer une complexité suffisante du mot de passe, en particulier la longueur du mot de passe ;
s’assurer que les mots de passe ne sont pas partagés avec d’autres utilisateurs ;
s’assurer du fait que les mots de passe ne sont jamais stockés ou transmis en clair ;
appliquer des changements de mot de passe réguliers et périodiques ;
s’assurer que les enregistrements de zone DNS sont signés DNSSEC et que vos résolveurs DNS effectuent la validation DNSSEC ;
appliquer une politique de verrouillage du mot de passe.
Il y a quelques jours, L’ICANN est revenu sur le fait que la mise en place du protocole DNSSEC était très utile pour protéger Internet contre ces attaques. L’ICANN a indiqué que ce type d’attaque, qui cible le DNS ne fonctionne que lorsque DNSSEC n’est pas utilisé. Cela dit, même si les autres mesures de sécurité sont mises en place à l’exception de DNSSEC, aucune protection n’est encore garantie et les risques sont toujours aussi élevés. Le protocole DNSSEC est une technologie développée pour protéger contre de tels changements ou dommages en « signant » numériquement des données pour en assurer la validité. Bien que DNSSEC ne puisse pas résoudre toutes les formes d’attaque contre le DNS, lorsqu’il est utilisé, des modifications non autorisées du DNS sur les informations peuvent être détectées et les utilisateurs ne peuvent pas être mal dirigés.
Contrairement à d’autres protocoles comme SSL, il ne sécurise pas juste un canal de communication, mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu’un serveur intermédiaire est trahi. « L’ICANN reconnaît depuis longtemps l’importance de DNSSEC et demande le déploiement complet de la technologie sur tous les noms de domaine. Bien que cela ne résolve pas tous les problèmes de sécurité d’Internet, il vise à garantir que les internautes atteignent la destination en ligne souhaitée. Il les aide à prévenir les attaques dites de “l’homme du milieu” qui dirigent un utilisateur vers un site potentiellement malveillant. DNSSEC complète d’autres technologies, telles que la sécurité de la couche de transport (généralement utilisée dans HTTPS), qui protège la communication entre l’utilisateur final et le domaine », a expliqué l’organisme à la fin de son argumentaire.
L’ICANN invite ainsi les membres de l’industrie des noms de domaine, les régistraires, les revendeurs et autres personnes apparentées, à prendre de manière proactive ces différentes mesures de sécurité pour protéger leurs systèmes, les systèmes de leurs clients et les informations accessibles via le DNS.
Source : ICANN