Par Ken Linscott, Directeur produits, Noms de domaine et Sécurité,
Mark Flegg, Directeur mondial, Services de sécurité,
et Letitia Thian, Responsable marketingShare this post
Une nouvelle menace a vu le jour : elle se nomme « SAD DNS » et permet aux attaquants de rediriger le trafic web, exposant les entreprises au Phishing, à la violation des données, aux atteintes à la réputation et aux pertes de revenus.
Qu’est-ce que le SAD DNS ?
Cet acronyme, qui signifie « Side Channel AttackeD DNS », désigne un type d’attaque récemment identifié par des chercheurs et qui pourrait relancer les attaques par empoisonnement du cache DNS.
Qu’est-ce que l’empoisonnement de cache DNS, et pourquoi est-ce une menace ?
Le DNS fonctionne comme un annuaire d’Internet, en traduisant les noms de domaine en adresses IP, afin que les utilisateurs puissent rechercher un site web par son nom plutôt que par une série de chiffres.
- Lorsqu’un utilisateur saisit le nom d’un domaine dans un navigateur, il envoie une requête au serveur de noms récursif, par exemple ceux qui sont hébergés par votre fournisseur d’accès Internet (FAI) ou un DNS public, comme un routeur sans fil dans un café.
- Dans le premier cas, ce serveur de noms – ou résolveur – déclenche une série de requêtes vers différents serveurs de noms (le DNS racine, le registre, puis finalement le DNS faisant autorité).
- Le serveur de noms finit par recevoir une réponse sous forme d’adresse IP afin d’afficher le site web dans le navigateur.
Pour plus d’efficacité, l’adresse IP est désormais enregistrée chez le résolveur afin que celui-ci revienne vers la même adresse la prochaine fois qu’il reçoit la même requête. On appelle cette opération « mise en cache ». L’enregistrement de cette donnée signifie que la prochaine fois qu’un internaute demandera l’adresse IP d’un nom de domaine, le résolveur pourra y répondre extrêmement rapidement à partir de ses propres données. La durée de la mise en cache est déterminée par le TTL (Time-to-Live ou temps de vie) spécifié dans votre fichier de zone.
C’est ce cache de données qui peut être compromis. Dans l’empoisonnement de cache DNS, le résolveur (dans ce cas, le FAI) est corrompu par un attaquant afin de renvoyer une adresse IP usurpée, qui redirige les utilisateurs vers le mauvais site, tel un site web frauduleux, plutôt que vers le site légitime. Ainsi, un utilisateur qui saisit un nom de domaine légitime peut très bien se retrouver sans le vouloir sur un site web de Phishing, ou un site rempli de logiciels malveillants. Capables de détourner le trafic, les attaquants peuvent espionner, voler des données et manipuler les communications.
Est-ce que les attaques par empoisonnement de cache DNS sont un nouveau type d’attaques ?
Non. Cette vulnérabilité du protocole DNS a été découverte en 2008 par le chercheur en sécurité informatique Dan Kaminsky. Il a identifié la faille dans l’architecture DNS, qui ne dispose que de 65 536 identifiants (ID) de transaction possibles pour chaque requête DNS utilisée pour la validation. Ce nombre restreint permet à un attaquant d’inonder un résolveur avec de fausses réponses DNS dotées d’ID de transaction, de deviner l’ID de transaction correct d’une requête DNS par une attaque « en force », et d’insérer sa propre adresse IP usurpée dans la réponse DNS.
Comment contrer les attaques par empoisonnement de cache DNS ?
Ce type d’attaque peut être déjoué à l’aide de deux moyens d’atténuation :
(II) DNSSEC (Domain Name System Security Extension)
Le protocole DNSSEC utilise des signatures numériques basées sur la cryptographie à clé publique pour valider l’authenticité des données DNS[1].
(II) Randomisation du port source
Un résolveur DNS a besoin à la fois d’un ID de transaction (qui est un nombre fini) et d’un numéro de port source pour valider une requête. Les numéros de ports sources peuvent être randomisés pour empêcher leur piratage par des attaquants, qui se retrouveront face à un nombre extrêmement élevé de permutations disponibles pour la validation.
La résurgence de l’empoisonnement de cache DNS
Les chercheurs de l’université de Californie et de l’université Tsinghua ont récemment identifié une vulnérabilité dans les résolveurs DNS, par laquelle les attaquants peuvent envoyer des données (paquets UDP) à un résolveur DNS et, en fonction des réponses (ICMP) du résolveur dans ce canal auxiliaire, deviner quel est le bon port source en ayant recours à une attaque en force. Armés du bon numéro de port source et d’un nombre fini d’ID de transaction, auxquels s’ajoute un faible taux d’adoption de DNSSEC dans le monde[2], les cybercriminels sont à nouveau en mesure de lancer des attaques par empoisonnement de cache DNS.
Le DNS de CSC est-il vulnérable ?
Seuls les serveurs de noms récursifs sont vulnérables à ces attaques. Les serveurs CSC DNS de noms de domaine font autorité et ne sont donc pas susceptibles de subir un empoisonnement de cache. Toutefois, en raison même de la nature du DNS, les entreprises peuvent subir ce type d’attaques si les serveurs de noms récursifs, comme ceux du FAI, sont empoisonnés.
Comment les entreprises peuvent-elles se prémunir contre l’empoisonnement de cache DNS ?
Plusieurs suggestions ont été envisagées. Cependant, une mesure d’atténuation efficace existe depuis les années 2000, bien qu’elle ait été largement ignorée : il s’agit du protocole DNSSEC.
Le taux d’adoption de DNSSEC n’a pas beaucoup augmenté au cours des dernières décennies. Comme l’explique notre Rapport 2020 sur la sécurité des noms de domaine, l’adoption de DNSSEC par les entreprises du Forbes Global 2000 n’est que de 3 % !
Le « père d’Internet », Vint Cerf, déclare : « Le secteur a également besoin d’inciter à une adoption plus rapide des extensions de sécurité du système de noms de domaine, à savoir DNSSEC, pour éliminer les attaques de spoofing du système DNS. C’est un moyen de vérifier que la combinaison nom de domaine / adresse IP obtenue pendant la recherche du nom de domaine vient d’une source reconnue et porte une signature numérique, pour s’assurer que le navigateur utilise la bonne adresse Internet de destination afin d’atteindre le bon site web. Les Registrars de noms de domaine et les fournisseurs d’hébergement devraient permettre aux possesseurs de sites web d’activer DNSSEC pour leurs sites via une procédure simple[3]. »
Le SAD DNS est une menace réelle et immédiate qui pèse sur les entreprises du monde entier, qui devraient dès maintenant réclamer l’implémentation de DNSSEC auprès de leur fournisseur DNS.
[1 ] icann.org/resources/pages/dnssec-what-is-it-why-important-2019-03-05-en
[2] stats.labs.apnic.net/dnssec/XA
[3] qz.com/1703322/internet-pioneer-vint-cerf-on-what-we-need-to-do-to-fix-the-web/