Internet serait-il en proie à une vague d'attaques inédites du système de noms de domaine ? C'est un risque selon l'ICANN

Le , par Bill Fassinou

388PARTAGES

14  0 
L’Internet mondial et ses noms de domaines seraient-ils sous le coup d’une attaque inédite par des pirates non identifiés ? L’information circule depuis ce vendredi qu'Internet est la cible d’attaques visant à modifier des noms de domaines ou les adresses des sites Web pour les pirater. D’après 24Matins, l’ICANN, l’organisme mondial qui attribue les adresses Internet, a fait une annonce dans la journée d’hier selon laquelle l’Internet mondial et ses noms de domaines sont sous le coup d’une attaque inédite par des pirates non identifiés. L'ICANN, c’est aussi une organisation reconnue d'utilité publique rassemblant des participants du monde entier qui œuvrent à la préservation de la sécurité, la stabilité et l'interopérabilité de l'Internet.

L’ICANN a expliqué par le biais d’un de ses responsables, David Conrad, que ces pirates s’attaquent et ce, depuis un moment déjà (2017 pour les premiers constats) à l’infrastructure Internet elle-même. Autrement dit, ces pirates s’attaquent au système de noms de domaine DNS (Domain Name System) qui permet d’établir la liaison entre un ordinateur et un site Internet. On parle de DNSpionnage pour désigner ce type d’attaque. Pour l’heure, il s’agit d’une campagne inédite et à très grande échelle qui se serait extraordinairement intensifiée ces dernières semaines. Ces attaques, à en croire les précisions de l’ICANN, ciblent particulièrement certaines régions et installations rigides dans le monde.


Selon certains experts en sécurités qui ont commenté ces récentes publications de l’organisme mondial, les pirates ont pour cibles principales certains gouvernements en Europe et au Moyen-Orient, des bases de services de renseignements ou de police, des compagnies aériennes ou encore des installations pétrolières. Selon David Conrad, il y a déjà eu des attaques ciblées de ce type, mais jamais de cette envergure. Rappelons qu'en mars 2013, le bruit avait couru qu’Internet venait d’être victime de la grande attaque de son histoire dans un événement semblable à celui-ci. En effet, les assauts DDoS vers Spamhaus avaient entraîné un ralentissement du trafic mondial sur Internet.

La méthode utilisée par les cybercriminels est connue sous le nom de réflexion DNS qui consiste à envoyer des demandes usurpées aux résolveurs DNS dits ouverts (pouvant être interrogés par n'importe qui sur Internet) qui semblent provenir de l’adresse IP de la victime visée. Les assaillants ont généralement rédigé leurs demandes afin que les réponses renvoyées à la victime par les serveurs interrogés soient très importantes. Ce type d'attaque peut être atténué par la victime ou le fournisseur, mais dans ce cas particulier et en raison de sa taille, l'attaque s’est également propagée sur le reste d'Internet en cours de route. L’attaque qui a été revendiquée par le groupe Stophaus Movement semble aujourd’hui s’être arrêtée. Le groupe a justifié son action en disant que Spamhaus abusait de sa position de force.

Parlant du mode opératoire employé par les pirates pour mettre à exécution leurs attaques, l’ICANN explique qu’il consiste à remplacer les adresses des serveurs autorisés par des adresses des machines contrôlées par les assaillants. Cela leur permet d’obtenir des milliers de données notamment des adresses mail et des mots de passes, etc. Jusqu’à présent, aucune trace n’a permis d’identifier l’origine exacte des attaquants, mais d’autres ont leurs propres théories ou leurs petites idées. D’après Ben Read, il y a des preuves qui montrent que ces attaques ciblées proviennent de l’Iran. Pour un autre expert, Adam Meyers de la firme CrowdStrike, les hackers cherchaient notamment à voler des mots de passe au Liban et aux Émirats arabes unis.

À la question de savoir quels sont les dangers pour Internet et son infrastructure, l’ICANN a répondu que les risques peuvent se montrer très délicats. Adam Meyers a dit qu’avec cet accès, les hackers pourraient décider d’arrêter le fonctionnement de certains pans d’Internet, mais pour l’instant il semblerait qu’ils se limitent juste d’intercepter les données et d’écouter les gens. Sur Reddit, certains désignent les Russes, les Coréens ou en encore les Chinois comme responsables des attaques et d’autres déplorent le fait qu’il n'y a aucun moyen pour une tierce personne de savoir si le service DNS qu'elle utilise a été compromis ou non par ce type d’attaque. D’autres commentaires également cherchent à savoir quelles sont les initiatives envisageables ou déjà mises en œuvre pour contrer ces attaques.

Avec l’intensification récente des attaques, l’ICANN estime qu’il y a un risque en cours important sur des parties importantes de l’infrastructure des noms de domaine. Ainsi donc, il appelle les responsables informatiques à prendre des mesures adéquates. Précisément, il appelle au déploiement du protocole de protection appelé “Domain Name System Security Extensions” (DNSSEC). Pour information, DNSSEC est un protocole standardisé par l'IETF permettant de résoudre certains problèmes liés au protocole DNS. Les spécifications sont publiées dans la RFC 4033 et les suivantes. Contrairement à d'autres protocoles comme SSL, il ne sécurise pas juste un canal de communication, mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu'un serveur intermédiaire est trahi.

David Conrad explique également qu’il ne s’agit pas de la seule alternative pour contrecarrer ce problème, mais pour l’heure cela constitue un début de protection. « Nous devons améliorer la sécurité globale du DNS si nous voulons avoir un espoir d’empêcher ce genre d’attaques », conclut-il. L’ICAN fait remarquer à la fin que les attaques informatiques de toute ampleur et de toute nature se multiplient avec une vitesse exponentielle depuis ces dernières années et principalement cette dernière décennie. L’enjeu est de taille et la sécurité d’Internet est remise en cause aujourd’hui plus que jamais.

FireEye, une entreprise de sécurité informatique américaine, a aussi indiqué dans un billet de blog que ses équipes de renseignement et de réponse aux incidents ont identifié une vague de détournement de DNS qui a touché des dizaines de domaines appartenant à des entités gouvernementales, de télécommunications et d'infrastructure Internet au Moyen-Orient, en Afrique du Nord, en Europe et en Amérique du Nord.

« Bien que nous n'établissions actuellement aucun lien entre cette activité et un groupe de pirate, les recherches initiales suggèrent que l'acteur ou les acteurs responsables ont un lien avec l'Iran. Cette campagne a ciblé les victimes à travers le monde à une échelle presque sans précédent, avec un degré élevé de succès. Nous suivons cette activité depuis plusieurs mois, cartographiant et comprenant les tactiques, techniques et procédures innovantes déployées par l'attaquant. Nous avons également travaillé en étroite collaboration avec les victimes, les organismes de sécurité et les organismes d'application de la loi, dans la mesure du possible, afin de réduire l'impact des attaques ou de prévenir d'autres compromis », écrit FireEye en décrivant trois techniques qu'auraient utilisés les pirates pour arriver à leur fin.

Source : 24Matins, FireEye

Et vous ?

Qu'en pensez-vous ?
Comment peut-on se protéger de ces genres d'attaques selon vous ?
Devrait-on parler d'attaque ou simplement d'une menace ? Quelles sont vos raisons ?

Voir aussi

Internet victime de la plus grande attaque de son histoire les assauts DDoS vers Spamhaus ont entraîné un ralentissement du trafic mondial

Les sites web se sont fait attaquer en moyenne 44 fois par jour au cours du dernier trimestre de 2017 selon une étude de SiteLock

OVH victime de la plus violente attaque DDoS jamais enregistrée par un botnet de caméras connectées qui n'étaient pas sécurisées

Un hacker a piraté 50 000 imprimantes connectées à internet pour encourager les gens à s'abonner à la chaine YouTube de PewDiePie

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Refuznik
Membre actif https://www.developpez.com
Le 25/02/2019 à 16:37
Il y a une communication de l'ICANN demandant aux utilisateurs de sécuriser leurs DNS parce qu'il y a toujours des attaques basé là-dessus.

Suivis de deux, trois papiers de journalistes ne lisant pas l'anglais et parlant d'une attaque massive et jamais vu sur les DNS.

Et maintenant on a notre secrétaire d’Etat français chargé du numérique quant même qui enchaine sur l'ICANN c'est fait pirater.

YES ! J'aime nos journalistes et nos hommes politiques.
8  0 
Avatar de Pyramidev
Expert confirmé https://www.developpez.com
Le 25/02/2019 à 14:00
Citation Envoyé par Bill Fassinou Voir le message
L’ICANN prévient que ces attaques inédites sont à très grande échelle et se serait extraordinairement intensifiée ces dernières semaines.
L'ICANN parle d'un grand risque, mais pas d'une attaque massive et inédite en cours.

Voici ce que dit ICANN : « The Internet Corporation for Assigned Names and Numbers (ICANN) believes that there is an ongoing and significant risk to key parts of the Domain Name System (DNS) infrastructure. »

À ce sujet, il y a un article de LeMonde publié aujourd’hui à 12h49 : Non, une attaque massive et inédite n’est pas en cours sur l’Internet mondial.
7  0 
Avatar de Refuznik
Membre actif https://www.developpez.com
Le 24/02/2019 à 11:55
Qu'en pensez-vous ?
Quant je lis ce genre de truc "...une vague d’attaques inédites" ou ...ouien, ils vont casser internet on sait déja que c'est de l'article puteàclick. Et 24matins n'est pas le seul si on regarde l'article de Reuter repris par les journaux français.

Bref il y a pas plus d'attaque que d'habitude sur les DNS depuis 2013. Par contre DNSSEC est déployé depuis plus de dix ans mais il y a toujours des gens qui ne l'ont pas mis en place ; ce que L'ICANN dans son communiqué à sensation fait remarquer.

Si vous vous intéressez un plus à ce type d'attaque https://krebsonsecurity.com/2019/02/...cking-attacks/

Comment peut-on se protéger de ces genres d'attaques selon vous ?
Les bonnes pratiques :
https://www.ssi.gouv.fr/guide/bonnes...ms-de-domaine/
https://www.afnic.fr/fr/ressources/p...e-domaine.html
5  0 
Avatar de Cassoulatine
Nouveau Candidat au Club https://www.developpez.com
Le 23/02/2019 à 22:02
D’après Ben Read, il y a des preuves qui montrent que ces attaques ciblées proviennent de l’Iran.
Des attaques qui ont commencées en 2017 .... Et on découvre maintenant, juste quand Israël veut la guerre à l'Iran que ça serait l'Iran l'investigateur ...
4  0 
Avatar de jvallois
Membre habitué https://www.developpez.com
Le 23/02/2019 à 23:38
Citation Envoyé par Cassoulatine Voir le message
Des attaques qui ont commencées en 2017 .... Et on découvre maintenant, juste quand Israël veut la guerre à l'Iran que ça serait l'Iran l'investigateur ...
Un peu comme les armes de destruction massive de Saddam Hussein...
4  0 
Avatar de vxlan.is.top
Membre éclairé https://www.developpez.com
Le 24/02/2019 à 22:23
Citation Envoyé par Refuznik Voir le message

Bref il y a pas plus d'attaque que d'habitude sur les DNS depuis 2013.
On ne doit pas avoir les mêmes sources alors
Allez donc voir du côté de Cisco's Talos & securelist.com...

Citation Envoyé par Refuznik Voir le message
Par contre DNSSEC est déployé depuis plus de dix ans mais il y a toujours des gens qui ne l'ont pas mis en place ; ce que L'ICANN dans son communiqué à sensation fait remarquer.

Si vous vous intéressez un plus à ce type d'attaque https://krebsonsecurity.com/2019/02/...cking-attacks/
D'autant plus que l'implémentation de DNSSEC n'aurait jamais empêché le DNS Hijacking décrit dans le rapport de FireEye qui est cité dans l'article :

https://www.fireeye.com/blog/threat-...-at-scale.html

L'amateurisme de l'article de Krebs me surprend un peu...

Citation Envoyé par tanaka59 Voir le message
Comme toujours on accuse toujours x ou y alors que c'est le voisin
Ca c'est votre perception...
Les sources d'attaques sont parfaitement géolocalisées, et il y a recrudescence d'un phénomène inquiétant émanant d'Iran, c'est indéniable (cf le rapport de CrowdStrike qui collecte les data avec Farsight Security & SecurityTrails, c'est édifiant).

-VX
2  2 
Avatar de
https://www.developpez.com
Le 25/02/2019 à 18:28
que mr Mounir Mahjoubi dont je n'ai pas encore compris la qualification.

Genre un mec avec +5 ans d'expérience récente dans le domaine !

Ah ok il a fait peut être 1 an ou 2 de helpdesk en 2000 et en étant syndicaliste CGT.

Je suis plus qualifié que lui en informatique déjà de base.

Après surement moins en twitter et en cuisine/finance et stratégie, mais bon quand il faut parle l'ICANN.
2  0 
Avatar de tanaka59
Membre expérimenté https://www.developpez.com
Le 24/02/2019 à 19:27
A part un pic d'activité de tentative de connexion frauduleuse depuis des zones géographiques comme l'Asie du sud est , le moyen orient et l’Amérique latine rien d'inhabituel ... Comme toujours on accuse toujours x ou y alors que c'est le voisin
1  0 
Avatar de vxlan.is.top
Membre éclairé https://www.developpez.com
Le 25/02/2019 à 12:07
Tiens, je me réponds à moi-même.

Citation Envoyé par vxlan.is.top Voir le message
On ne doit pas avoir les mêmes sources alors
https://hackercombat.com/what-do-we-...threat-report/
"According to the Global DNS Threat Report, there is a 57% increase in downtime due to DNS-based cyber attacks."

EfficientIP s'est particulièrement intéressé aux coûts des menaces DN :
https://www.efficientip.com/wp-conte...ss-Release.pdf
"The global average cost per DNS attack increased by 57% year-on-year"

Et il suffit de faire les recherches pertinentes sur Google pour se rendre compte que DNS est le Talon d'Achille de l'Internet et une surface d'attaque très prisée.

Citation Envoyé par vxlan.is.top Voir le message

D'autant plus que l'implémentation de DNSSEC n'aurait jamais empêché le DNS Hijacking décrit dans le rapport de FireEye qui est cité dans l'article :

https://www.fireeye.com/blog/threat-...-at-scale.html

L'amateurisme de l'article de Krebs me surprend un peu...
Ce tweet de Bortzmeyer
https://twitter.com/bortzmeyer/statu...477918720?s=12

Citation Envoyé par vxlan.is.top Voir le message

Les sources d'attaques sont parfaitement géolocalisées, et il y a recrudescence d'un phénomène inquiétant émanant d'Iran, c'est indéniable (cf le rapport de CrowdStrike qui collecte les data avec Farsight Security & SecurityTrails, c'est édifiant).
Cf ce rapport d'Accenture :
https://www.accenture.com/t20180803T...eport-2018.pdf

Une bonne synthèse de ce qu'on sait sur les attaques provenant d'Iran.

-VX
1  0 
Avatar de NBoulfroy
Membre confirmé https://www.developpez.com
Le 25/02/2019 à 17:49
C'est assez inquiétant tout ça ...
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web