J’ai récemment été invité par Dave Bittner à participer au podcast CyberWire pour discuter de la façon dont l’IA offre aux cybercriminels une nouvelle opportunité de tirer profit de certaines des plus grandes entreprises au monde, d’après les résultats du Rapport CSC sur la sécurité des noms de domaine 2023. Vous trouverez ci-dessous un résumé des points clés abordés au cours de ce podcast.
Manque de vigilance à l’extérieur du périmètre d’une entreprise
En tant que registre Corporate de noms de domaine, qui propose également des services de protection des marques et de lutte contre la fraude, nous avons remarqué que les professionnels de la cybersécurité excellent à protéger les données dans le périmètre de leur entreprise, mais font preuve de lacunes et d’un manque de vigilance pour gérer le périmètre d’attaque externe en ligne. Notre Rapport sur la sécurité des noms de domaine, réalisé auprès des entreprises du classement Forbes Global 2000, souligne l’importance de la sécurité des noms de domaine sur Internet.
Un espace de nommage de domaine plus étendu se traduit par un plus grand périmètre d’attaque
Aujourd’hui, l’espace de nommage des domaines offre bien d’autres options que les traditionnelles extensions .COM, .NET ou .ORG et permet désormais quasiment tout type de nom, par exemple .APP, et plus récemment .AI pour l’intelligence artificielle.
Notre rapport démontre que 43 % des domaines en .AI sont enregistrés par des tiers, ce qui signifie que le propriétaire de la marque ne possède pas son propre nom de domaine en .AI. Par exemple, la société XYZ porte légitimement le nom de domaine XYZ.com. Cependant, XYZ.AI appartient à un tiers qui pourrait être un tiers malveillant, comme un cybercriminel ou un fraudeur. La même logique s’applique à d’autres extensions de domaine, nouvelles ou connues, telles que gTLD ou ccTLD. Cette logique est préjudiciable pour le propriétaire de la marque car elle met en jeu sa réputation, et nos statistiques démontrent que de nombreuses grandes entreprises internationales sont exposées à des menaces dans l’utilisation de l’extension de domaine .AI.
Par ailleurs, nous avons constaté que 21 % des sous-domaines existants ne résolvent pas (ils sont configurés, renvoient vers un serveur, mais n’affichent aucun ontenu). Les noms de sous-domaines, qui sont légitimes sur les infrastructures cloud, sont donc également susceptibles d’être piratés par des cybercriminels. De nombreuses entreprises se sont agrandies au fil du temps et, à mesure qu’elles finalisent leurs acquisitions, certaines zones de systèmes de noms de domaines (DNS) n’ont pas été « nettoyées » depuis 20 ou 30 ans. Il s’agit de surfaces exposées sur le Web dont les cybercriminels cherchent à tirer profit.
Surveillance des indicateurs d’intention malveillante
Nous disposons aujourd’hui d’une multitude d’outils qui nous permettent d’identifier immédiatement les menaces, par exemple lorsque le nom de domaine d’une marque n’est pas enregistré par le propriétaire de cette marque ou lorsqu’un nom de domaine est inactif. Les noms de domaine inactifs sont considérés comme des noms de domaine suspects qui peuvent être activés à tout moment par des tiers malveillants pour lancer des campagnes ciblées de phishing ou de programmes malveillants. Même si un nom de domaine inactif n’est associé à aucun site Web, lorsqu’il existe un enregistrement mail (MX) qui active le canal de messagerie, c’est un signe révélateur qu’il pourrait être utilisé très prochainement pour une campagne de phishing ou de programmes malveillants.
Les noms de domaine inactifs sont considérés comme une menace sérieuse et doivent être intégrés au centre d’opérations de sécurité moderne. Grâce à une surveillance quotidienne continue, dès qu’un site Web est activé, il peut être analysé pour détecter une éventuelle activité de phishing et des mesures de désactivation peuvent être mises en œuvre immédiatement pour minimiser les risques.
De plus, les cybercriminels utilisent l’IA générative dans ce type de campagnes d’attaques ciblées pour sophistiquer leurs attaques et accélérer leur déploiement. L’IA générative permet également aux tiers malveillants de créer des e-mails de phishing personnalisés et ciblés, exempts d’erreurs d’orthographe et de grammaire, afin de les rendre plus difficiles à détecter. Des outils d’IA du dark web tels que FraudGPT sont actuellement disponibles et permettent aux acteurs malveillants de lancer des attaques d’ingénierie sociale par deepfake plus complexes, qui manipulent les émotions ou la confiance de leurs cibles bien plus rapidement.
Recommandations pour une stratégie de sécurité sans faille
La sécurité des noms de domaine doit faire partie intégrante de la stratégie de sécurité de toute entreprise, des entreprises qui opèrent en ligne aux entreprises du secteur public. Actuellement, les portefeuilles de noms de domaine de nombreuses entreprises sont répartis dans le monde entier sous une multitude de domaines génériques de premier niveau (TLD) tels que .COM, ou de TLD nationaux tels que .FR. Les professionnels de la sécurité et les responsables de la sécurité des systèmes d’information (RSSI) doivent avoir entièrement accès au portefeuille de noms de domaine et enrichir ces données via un nombre réduit de fournisseurs.
Ils doivent être en mesure de gérer ce portefeuille et de le surveiller en permanence afin d’identifier les attaques d’ingénierie sociale susceptibles d’entraîner un détournement de DNS, un piratage de domaine ou un« domain-shadowing », et d’empêcher les attaques de phishing.
Au lieu de faire appel à des registrars grand public, nous vous recommandons d’utiliser des registrars de niveau professionnel, qui disposent d’équipes qualifiées travaillant 24 h/24 et 7 j/7 pour protéger les domaines de tout ajout, modification ou suppression qui doivent être entièrement autorisés et authentifiés.
Pour en savoir plus, écoutez l’intégralité de l’entretien du podcast.