Une vague de détournement de DNS

La nouvelle touche les Etats-Unis. Le site ARSTechnica nous rapporte que de nombreuses attaques visant les DNS (domain name system) des agences fédérales américaines ont eu lieu ces dernières semaines. C’est le DHS, le département de la sécurité intérieure américain, qui a publié cette nouvelle. Leur directive a été de demander d’immédiatement renforcer leurs domaines afin de se protéger des attaques. Ces dernières auraient touchées les sites web et adresses de messagerie de la branche exécutive.

En effet, la société FireEye, géant américain de la cybersécurité, a mis en garde le DHS contre une attaque sans précédent, ayant pour but de modifier les enregistrements du système de noms de domaine appartenant entre autres aux fournisseurs internet et agences gouvernementales. Rien que ça. En mettant la main sur un nom de serveur, un ordinateur va pouvoir en trouver un autre… et la chaîne est créée. Les hackers peuvent alors récupérer mots de passe, adresses mail, communication etc.

Principe de l’attaque

Mettre la main sur ces DNS n’est pas facile. Voici leur mode de fonctionnement :

  • En usant de divers moyens, le hacker prend possession des identifiants d’une personne ayant accès aux enregistrements DNS. Cela peut être par une arnaque classique par Email, ou en connaissant déjà l’adresse email de la personne. Il existe divers moyens de se procurer aujourd’hui des identifiants, voilà pourquoi il faut redoubler de vigilance et avoir des sécurités efficaces sur son serveur.
  • En possession de cet accès, il va modifier les enregistrement DNS et spécialement les enregistrements Adress, Name Server ou Mail Exchanger. Il va remplacer les adresses légitimes par des fausses, pour ainsi détourner le trafic par sa propre infrastructure. Le trafic, redirigé, va pouvoir être modifié (ou non) par le hacker avant d’être renvoyé s’il le souhaite. Il a ainsi la main sur tous les échanges d’une entreprise et peut les altérer à sa guise.
  • S’il possède les enregistrements DNS, il peut avoir des certificats de cryptage valides pour les DNS de l’entreprise. Une fois en sa possession, il peut sans problème déchiffrer le contenu du trafic redirigé.

Ces attaques sont particulièrement efficaces et dangereuses, car ils peuvent à tout moment tomber sur des informations sensibles de l’entreprise, sans courir le risque de se faire repérer. En effet, en utilisant des certificats de cryptage valides, ils n’alertent pas les utilisateurs que les messages sont redirigés au préalable sur son serveur.

Des mesures de sécurité immédiates

Afin de se protéger de la menace que représentent ces attaques, le directeur du CISA
(Agence de sécurité des infrastructures et de la cybersécurité), appartement au DHS, a donné des mesures à appliquer. Le directeur Christopher C. Krebs demande d’auditer les enregistrements DNS publics sur les serveurs DNS principaux et secondaires. S’ils ne sont pas à leur place habituelle, il faut qu’ils préviennent la CISA. De plus, ils ont demandé une mise à jour de tous les mots de passe du personnel ayant accès. Nous vous rappelons que changer ses mots de passe en cas d’attaque informatique ou de découverte de vulnérabilité, que vous soyez un particulier ou une entreprise, est un réflexe à avoir. Enfin, d’implémenter un enregistrement à plusieurs facteurs a été demandé pour tous les comptes pouvant accéder aux enregistrements DNS.

Une attaque qui tombe au mauvais moment

Mauvaise nouvelle pour le gouvernement américain qui fait déjà face à de gros problèmes politiques. Depuis le 20 Janvier le « shutdown » a obligé plusieurs institutions américaines à fermer. Pour cause, le sénat n’a pas réussi à se mettre d’accord concernant le financement temporaire du gouvernement. Le personnel informatique travaillant dans l’IT a donc été très ralentit par ces mesures.

Article référent : Arstechnica.com