Mieux comprendre ses implications et les différents niveaux d’efficacité.
Début 2019, CSC s’est joint à la CISA (Cybersecurity and Infrastructure Security Agency) du Département américain de la sécurité intérieure, ainsi qu’à d’autres acteurs majeurs de la cybersécurité – y compris Cisco® Talos, FireEye® et Akamai – pour alerter les entreprises et le public face aux menaces croissantes des piratages DNS commandités par des États. Les cibles de ces attaques incluaient des entités publiques, des entreprises, des organismes de télécommunication et des réseaux d’infrastructure, et ont entraîné des redirections de sites Web et d’e-mails en vue de recueillir des informations sensibles.
Le piratage DNS permet à un cybercriminel de rediriger des clients d’une entreprise vers un site Web contrefait afin de dérober leurs identifiants de connexion et d’autres données confidentielles. Ce type de détournement constitue non seulement un risque grave de violation des données, mais également un cauchemar en termes de confidentialité, notamment au regard des réglementations plus sévères désormais en vigueur pour protéger la confidentialité des données, comme le Règlement général sur la protection des données (RGPD) au niveau européen. Les informations peuvent aussi être recueillies à partir de la messagerie entrante de l’entreprise, puis utilisées pour lancer des attaques de phishing sophistiquées sur ses clients et son personnel en utilisant les noms de domaine de l’entreprise pour mieux dissimuler la supercherie.
Parmi toutes les recommandations émises, le verrouillage des noms de domaine figure en première place. C’est également l’une des meilleures pratiques suggérées aux propriétaires de marques.
Qu’est-ce que le verrouillage des noms de domaine ?
Le verrouillage des noms de domaine a pour la première fois été mis en œuvre pour l’extension de domaine .COM en réponse aux attaques des cybercriminels visant à accéder illégalement aux plateformes des registres et des bureaux d’enregistrement (les « registrar ») pour modifier sans autorisation des données d’enregistrement des noms de domaine.
Deux types de verrouillage sont possibles :
- Les verrous de niveau registrar avec le préfixe [client]
- Les verrous de niveau registre avec le préfixe [serveur]
Si vous avez déjà consulté des données d’enregistrement WHOIS d’un nom de domaine, vous avez probablement pu voir les codes de statut suivants :
- [client / server] Delete Prohibited – Garantit que le nom de domaine ne peut pas être supprimé ni suspendu.
- [client / server] Transfer Prohibited – Rejette tout transfert non autorisé vers un autre fournisseur de nom de domaine.
- [client / server] Update Prohibited – Aucune modification des données WHOIS n’est autorisée, y compris les re-délégations vers un autre serveur de noms.
- Le verrouillage au niveau du client (registrar) et du serveur (registre) ajoute des couches de sécurité supplémentaires sur les opérations critiques.
Mais les choses gagnent en complexité en fonction des éléments suivants :
- Les modalités du verrouillage. La mise en œuvre du verrou de niveau registre est assurée par le registre d’un commun accord avec le titulaire, tandis que le verrou de niveau registrar est uniquement contrôlé par le registrar.
- Qui conserve les données WHOIS définitives ? Le registre (« thick registry ») ou le registrar (« thin registry », par exemple .COM et .NET pour lequel c’est le registrar qui stocke les données WHOIS).
Et c’est là que se situe le problème : pour une personne n’ayant pas les connaissances techniques nécessaires, il est très difficile de comprendre quels types de verrous ont été appliqués – ou devraient être appliqués – sur les noms de domaine critiques.
Pour vous aider à vous y retrouver, nous vous proposons une description des différentes options de verrouillage, ainsi que de leur degré d’efficacité :
1. Verrouillage contre le transfert de niveau registrar :
- ClientTransferProhibited
Efficacité du verrouillage : très faible
Tous les verrouillages sont facultatifs, excepté pour ce verrouillage contre le transfert mis en œuvre par le registrar que l’ICANN (Internet Corporation for Assigned Names and Numbers) a rendu obligatoire pour tous les noms de domaine génériques de premier niveau (gTLD). Ces verrous permettront d’éviter que le registrar ne transfère sans autorisation votre nom de domaine vers un autre registrar suite à une requête frauduleuse effectuée via le détournement d’un nom de domaine.
Ce verrouillage n’empêchera toutefois pas le piratage DNS (c’est-à-dire la modification de votre DNS), ni même la suspension involontaire de votre nom de domaine. En outre, si un cybercriminel parvient à accéder à votre portail de gestion de nom de domaine, il pourra toujours envoyer une requête au registre afin de faire transférer le nom de domaine hors de votre périmètre de gestion, puisque cette requête de transfert sera envoyée directement au registre sans validation supplémentaire.
2. Verrouillage complet de niveau registrar :
- ClientDeleteProhibited
- ClientTransferProhibited
- ClientUpdateProhibited
Efficacité du verrouillage : faible
Vous pouvez réduire davantage les risques en demandant la mise en œuvre simultanée des trois fonctionnalités de verrouillage de niveau registrar ci-dessus. Il est surtout important de comprendre spécifiquement ce que signifie le verrouillage de niveau registrar pour votre registrar, et comment il active ce service. Lorsqu’ils sont appliqués correctement, ces verrous signifient qu’un processus de vérification avancé et manuel a été mis en place entre votre registrar et vous, pour garantir que les requêtes de suspension, de suppression, de modification et de transfert sont légitimes et autorisées. Lorsqu’ils ne sont pas appliqués correctement, le risque est qu’une fois la requête effectuée via le portail de gestion de nom de domaine, qu’elle soit autorisée ou non, les verrous de niveau registrar soient automatiquement levés, sans vérification supplémentaire.
L’autre risque concernant ces verrous est que le registre n’applique aucune procédure de validation aux requêtes émises par votre registrar. Dès lors, si un cybercriminel obtient l’accès non autorisé à votre portail de gestion de nom de domaine, il aura toujours la possibilité d’envoyer une requête au registre afin d’obtenir la suspension, la suppression, la modification (piratage DNS) ou le transfert de votre nom de domaine hors de votre périmètre de gestion.
Ce risque se pose notamment pour tous les registres « thick » qui stockent les données WHOIS définitives.
3. Verrouillage complet de niveau registre :
- ServerDeleteProhibited
- ServerTransferProhibited
- ServerUpdateProhibited
Efficacité du verrouillage : moyenne
Ce verrouillage de niveau registre valide les requêtes émises par le registrar, donc si les systèmes du registrar ont été compromis, une requête non autorisée sera identifiée comme telle et rejetée, ce qui vous offre une bien meilleure protection, notamment dans le cas des registres « thick » qui conservent les données définitives.
Toutefois, l’activation du verrouillage de registre ne vous protégera pas contre les requêtes de mise à jour non autorisée des extensions « thin » comme .COM, pour lesquelles les données WHOIS sont conservées par le registrar.
4. MultiLock de CSC :
- ClientTransferProhibited
- ServerDeleteProhibited
- ServerTransferProhibited
- ServerUpdateProhibited
Efficacité du verrouillage : haute – la meilleure de sa catégorie
Le mécanisme le plus efficace consiste à activer l’ensemble des verrouillages de registre de même que le verrouillage contre le transfert au niveau du registrar. Chez CSC, nous combinons tous ces verrous dans notre service MultiLock unique, qui inclut en outre un mécanisme supplémentaire n’apparaissant pas dans la base de données WHOIS afin de protéger les données WHOIS thin que nous conservons en tant que prestataire. Plus précisément, nous n’autorisons aucune modification via le gestionnaire de nom de domaine lorsque MultiLock est activé, en supprimant l’accès automatique à la base de données WHOIS que nous gérons. Cette mesure de précaution permet d’assurer que chaque étape de la procédure est soumise à une validation manuelle, ce qui signifie que la requête sera validée par deux handshakes distincts, entre le client et le registrar, puis entre le registrar et le registre. Cette approche signifie que, qu’il s’agisse d’un registre « thick » ou « thin », vos noms de domaine critiques sont protégés contre les risques de détournement de nom de domaine, de piratage DNS et de suppression non autorisée.
En juin 2019, le rapport sur la cybersécurité de CSC a montré que sur 120 marques médiatiques examinées, seules 43 % avaient utilisé un service de verrouillage de niveau registre, en dépit des recommandations des experts sectoriels et des pouvoirs publics.
Au vu de l’augmentation des attaques de piratage DNS, il est essentiel que les propriétaires de marques ainsi que les responsables des infrastructures d’exploitation des entreprises comprennent non seulement l’étendue de la menace, mais également la complexité des solutions à mettre en œuvre. De trop nombreux propriétaires de marques ont l’impression d’être protégés en ayant uniquement mis en place un verrouillage de niveau registrar, alors qu’une solution plus complète doit être envisagée pour assurer une sécurité totale.