Nominum, entreprise leader des solutions intelligentes de nommage de réseaux et d’adressage, a révélé aujourd'hui la sortie d'un nouvel outil de sécurisation DNS (Domain Name System). Il s'agira de la troisième génération de son outil TRUE (Trusted Response and Universal Enforcement), qui permet aux providers d'apporter des réponses instantanées et automatiques à leurs utilisateurs contre une multitude de menaces virtuelles dès qu'elles sont découvertes (botnets, phishing, contenus illégaux et autres malwares).
En exerçant une influence sur les systèmes DNS, l'architecture TRUE garantit aux internautes un surf sécurisé en contrant le dynamisme toujours grandissant des menaces Internet. Elle est déjà utilisée par de nombreux ISPs comme Verizon, Sprint, NTT Communications et d'autres membres importants de cette industrie.
La solution la plus connue de Nominum est le DNSSEC, une extension dédiée à prévenir les attaques de type "cache poisoning" ("empoisonnement de cache", technique consistant à rediriger à son insu un utilisateur vers un faux site web pourtant en tous points identique au site original, y compris au niveau de l'URL affichée).
Elle fonctionne en ajoutant une couche de cryptage au DNS qui permet aux sites Internet de vérifier que leurs adresses IP correspondent à leurs noms de domaine. Le DNSSEC était très en vogue jusqu'à la découverte par Dan Kaminsky, chercheur en sécurité informatique qui travaille pour IOActive, d'une faille fondamentale dans le protocole DNS(expliquée en détails ici).
En effet, bien que très prometteur, le DNSSEC ne peut être complètement efficace que si appliqué à l'entière hiérarchie du DNS (serveurs roots, domaines en .com ou individuels, etc.). En répose à cela, VeriSign incluera le DNS sur tous ses .com et .net à partir de 2011.
Les attaquants essayent souvent de faire du DNS leur allié en le corrompant, comme dans le cas du ver Conficker qui a infecté plus de 10 millions de PCs à travers le monde en utilisant le DNS comme point de rendez-vous de commande et de contrôle.
Les systèmes intelligents de Nominum étaient quant à eux capables d'identifier et d'isoler ce ver pour en trouver les hôtes porteurs et éviter l'infection des machines.
Bruce Van Nice, directeur du marketing pour Nominum, ajoute que "l'architecture TRUE est un intermédiaire dans le développement de la sécurité DNS qui peut être immédiatement adopté. Notre approche de type 'Blacklist' est complémentaire du DNSSEC car elle recence toutes les menaces DNS connues et pas seulement les attaques par 'cache poisoning'. Elle permet également de réduire le laps de temps dont bénéficiaient les pirates pour accomplir leurs exploits. Notre idée est de devancer les hackers. Dès qu'une menace est identitifée elle peut être diffusée à travers un large réseau sans qu'aucune intervention humaine ne soit nécéssaire."
Si un utilisateur essaie de se connecter à un site contenant quoi que ce soit de mal-intentionné, le programme le stoppe avec un message d'avertissement qui s'affiche automatiquement.
La troisième génération d'architecture TRUE annoncée ce jour apporte son lot d'avancées technologiques, parmis lesquelles des mesures sécuritaires absentes des dispositifs traditionnels de la majorité des systèmes DNS (comme, par exemple, le programme d'open-source BIND 9.0 dont une faille critique diagnostiquée en juillet 2009 nécéssita un patch immédiat pour prévenir des attaques par déni de service).
"Le DNS d'antant est en train de devenir obsolète", explique Van Nice. "Avec ces systèmes de base, un utilisateur clique sur un lien et son navigateur envoie une requête DNS qui est examinée par le serveur DNS exécutif qui transmet sa réponse directement à l'utilisateur... Mais le DNS ne sait pas si son destinataire est digne de confiance. Avec notre nouveau système, vous prenez l'avantage grâce aux sites et données malveillantes signalés dans notre liste noire, et ainsi, vous protègez au mieux l'utilisateur."
Le nouvel outil de Nominum offre notamment la visibilité en temps réel de l'ativité d'un réseau (logs, analyse de chaque échange DNS) ; la confidentialité des flux de données sensibles ; l'approvisionement automatique de la banque de données des nouvelles menaces qui ramène à quelques secondes le délai entre leur découverte et leur élimination ; enfin, des services personnalisés peuvent être déployés pour renforcer la sécurité du réseau, certains permettant la participation de l'utilisateur final lui-même (par exemple, le contrôle parental).
Selon Nominum, son architecture TRUE traque plus de 160 millions de sites connus comme étant malveillants.
"C'est un sacré paquet de mauvais sites, et la liste en fait que de s'étirer au fur et à mesure de nos découvertes" précise Van Nice.
Source : Nominum
Les solutions proposées par Nominum vous semblent-elles efficaces ? AVez-vous déjà eu à faire à une attaque par empoisonnement du cache ? Comment vous en êtes-vous rendu compte ? 
