Le Blog Uptrends

Nous supervisons vos sites Web.

Nous supervisons vos sites Web et les dernières technologies d'Internet

Essayer Uptrends
You are here: Home / Internet / Attaques “homme du millieu” en hausse. Surveillez votre DNS

Attaques “homme du millieu” en hausse. Surveillez votre DNS

Internet

Face à une augmentation soudaine des détournements de DNS et des attaques de type “homme du milieu” (man in the middle), l’équipe américaine de préparation aux urgences informatiques (US-CERT) a émis l’avertissement suivant sur sa page Alertes et conseils :

Le Centre national d’intégration de la cyber-sécurité et des communications (NCCIC), qui fait partie de l’Agence de la cyber-sécurité et de la sécurité des infrastructures (CISA), est au courant d’une campagne de détournement d’infrastructure du système de noms de domaine (DNS). En utilisant des informations d’identification compromises, un attaquant peut modifier l’emplacement défini par la résolution de nom de domaine des ressources d’une organisation. Cela permet à l’attaquant de rediriger le trafic des utilisateurs vers une infrastructure contrôlée par l’attaquant et d’obtenir des certificats de chiffrement valides pour les noms de domaine d’une entreprise, ce qui permet des attaques de type “homme du milieu”.

La NCCIC encourage les administrateurs à consulter les blogs de FireEye et Cisco Talos Intelligence sur le piratage de l’infrastructure DNS mondiale pour obtenir plus d’informations. De plus, NCCIC recommande les bonnes pratiques suivantes pour aider à protéger les réseaux contre cette menace :

  • Implémentez l’authentification multifactorielle sur les comptes de registre de domaine ou sur d’autres systèmes utilisés pour modifier les enregistrements DNS.
  • Vérifiez que l’infrastructure DNS (domaines de second niveau, sous-domaines et enregistrements de ressources associés) pointe vers les adresses IP ou les noms d’hôte corrects.
  • Recherchez des certificats de chiffrement liés à des domaines et révoquez tous les certificats demandés frauduleusement.

Comment fonctionnent les attaques DNS/SSL ?

Pour nos lecteurs férus de technologie qui veulent savoir, par des exemples détaillés, comment le détournement se déroule, nous vous recommandons vivement de lire les articles indiquées dans la notification US-CERT. Pour les autres, voici un résumé du fonctionnement des att aques multiformes.

Technique N° 1 : modification de l’enregistrement DNS A

L’enregistrement A dans vos enregistrements DNS contient l’adresse IPv4 de votre serveur. En utilisant des attaques de phishing (hameçonnage) et d’autres moyens, un attaquant obtient l’accès au panneau de l’administrateur du fournisseur DNS et modifie l’adresse IP pour qu’elle pointe vers un serveur proxy. Le serveur proxy redirige l’activité de l’utilisateur vers le site de destination à l’aide d’un certificat de Let’s Encrypt pour établir la connexion. L’attaquant collecte les noms d’utilisateur, les mots de passe et les informations d’identification du domaine lorsque les utilisateurs accèdent au site.

Technique N° 2 : modification de l’enregistrement NS

Votre enregistrement NS contient les informations du serveur de noms faisant autorité pour le domaine. Cette technique fonctionne comme la technique N° 1, mais elle utilise un registraire ou ccTLD (domaine de premier niveau de code pays) précédemment compromis. L’attaquant modifie l’enregistrement NS pour qu’il pointe vers un serveur de noms compromis qui transmet ensuite la demande via un serveur proxy lui permettant de collecter les informations de connexion.

Technique N° 3 : redirection DNS

En utilisant l’une des deux méthodes ci-dessus, cette technique redirige la requête vers l’infrastructure contrôlée par l’attaquant.

Qui doit s’inquiéter des attaques DNS ?

Toute entreprise peut être victime d’une attaque telle que décrite ci-dessus. FireEye indique que les opérateurs télécoms, les fournisseurs de services Internet, les fournisseurs d’infrastructure Internet, le gouvernement et les entreprises commerciales sensibles constituent la majorité des cibles attaquées, ce qui inclut la plupart des sites et éventuellement le vôtre.

Les techniques utilisent des attaques ciblées d’hameçonnage lorsqu’un utilisateur non averti ouvre un document Word contenant des macros malveillantes. Le document utilise plusieurs méthodes différentes pour éviter la détection par un logiciel de détection de virus et de logiciels malveillants, ce qui les rend très difficiles à identifier en amont.

Protéger votre entreprise contre les attaques DNS ou SSL

En suivant les recommandations de l’US-CERT ci-dessus, vous devez :

  • Utilisez l’authentification multi-facteur sur les comptes du registraire.
  • Vérifiez que les enregistrements DNS sont corrects.
  • Recherchez tous les certificats SSL non-autorisés et les révoquer.

Nous ajouterions un autre point :

  • Automatisez vos contrôles DNS et SSL pour une protection 24h/24 et 7j/7.

Surveillance externe avec Uptrends

Les problèmes de certificat DNS et SSL peuvent affecter l’ensemble de votre base d’utilisateurs ou simplement une partie. En utilisant le réseau mondial d’Uptrends, qui compte plus de 200 points de contrôle, vous vérifiez vos enregistrements DNS sur des serveurs DNS du monde entier. Mieux que la nature aléatoire des tests manuels, vos contrôles sont effectués une fois par minute, 24h/ 24, 7j/7. Les alertes avancées d’Uptrends vous permettent d’immédiatement savoir si votre moniteur rencontre des erreurs dans vos enregistrements.

Surveiller votre DNS

Il suffit de quelques instants pour configurer la surveillance DNS. Avec la surveillance DNS, vous pouvez vérifier votre :

  • A (adresse IPv4)
  • AAAA (adresse IPv6)
  • NS (serveur de noms faisant autorité)
  • CNAME (alias)
  • MX (mappage de serveur de messagerie)
  • SOA (Start of Authority)
  • SRV (Serveur)
  • TXT (texte)
  • Serveur racine

Vous pouvez configurer un moniteur DNS pour surveiller les modifications de l’un des enregistrements ci-dessus. Nous vous recommandons de surveiller vos enregistrements A et AAAA. Vous pouvez également surveiller votre enregistrement SOA. Votre enregistrement SOA a un numéro de série. Le système de nom de domaine incrémente le numéro de série lorsque quiconque modifie vos enregistrements DNS. En surveillant ce numéro, vous saurez immédiatement si quelqu’un a modifié votre enregistrement.

Surveiller votre certificat SSL

Outre l’envoi de rappels sur les dates d’expiration imminentes et la surveillance des erreurs de certificat, vous pouvez surveiller plusieurs champs de vos certificats SSL :

  • Nom commun
  • Organisation
  • Unité organisationnelle
  • Numéro de série
  • Empreinte numérique
  • Délivré par nom commun
  • Délivré par l’organisation
  • Délivré par l’unité organisationnelle

Les certificats utilisés par le pirate informatique ne déclencheront pas d’erreur, mais comme le certificat utilisé par le pirate n’aura pas les mêmes valeurs que votre certificat, votre moniteur SSL déclenchera une alerte.

Pensées supplémentaires

  1. Les instances de piratage DNS et de certificats continuent d’augmenter.
  2. Protéger vos utilisateurs et votre marque des attaques DNS nécessite de la vigilance.
  3. Le test manuel de vos certificats DNS et SSL ne capturera pas les problèmes localisés que vos utilisateurs pourraient rencontrer.
  4. La surveillance d’Uptrends proactive de vos enregistrements DNS et de la configuration de votre certificat SSL peut vous avertir d’une attaque bien avant les tests manuels ou les plaintes des utilisateurs.

Leave a Reply

Your email address will not be published. Required fields are marked *

Améliorez la performance de votre site Web avec Uptrends !

Découvrez comment Uptrends peut vous aider à optimiser la performance de votre site Web avec un essai gratuit de 30 jours.

Démarrer un essai gratuit