Le DNS Tunneling : une menace à prendre au sérieux pour les PME

Par Pascal Le Digol, Country Manager France de WatchGuard

Depuis quelques années, une série de piratages médiatisés et de rapports d’analystes témoignent de la multiplication exponentielle des attaques dites de « DNS tunneling », qui touchent tous les types d’entreprises, grandes ou petites.

Le système DNS (Domain Name System ou Système de Noms de Domaine) est une brique fondamentale du réseau Internet mondial depuis plus de 35 ans. Il s’agit d’un service qui permet d’établir une correspondance entre un nom de domaine et une adresse IP. Chaque ordinateur connecté à Internet possède une adresse IP propre. Mais pour éviter de travailler avec des adresses numériques du genre 194.153.205.26, l’utilisation d’un nom de domaine ou d’adresses plus explicites (appelées adresses FQDN) du type [www.watchguard.com] s’est rapidement imposée.

 

En effet, à l’origine d’internet, les administrateurs réseau utilisaient des tables de conversion manuelles. Mais avec l’explosion de la taille des réseaux et de leur interconnexion, il a fallu mettre en place un système de gestion des noms hiérarchisé et plus facilement administrable. Le système DNS a été mis au point en novembre 1983, puis régulièrement révisé depuis. Il comprend trois composants principaux :

  • un espace de noms hiérarchique permettant de garantir l’unicité d’un nom dans une structure arborescente ;
  • un système de serveurs distribués de noms de domaine permettant de rendre disponible l’espace de noms ;
  • un système permettant de « résoudre » les noms de domaines, c’est-à-dire d’interroger les serveurs afin de connaître l’adresse IP correspondant à un nom.

Les machines appelées serveurs de nom de domaine permettent d’établir la correspondance entre le nom de domaine et l’adresse IP des machines d’un réseau. Chaque domaine possède un serveur de noms de domaine, appelé serveur de noms primaire. Le système de nom de domaine est une architecture distribuée, où chaque entité est responsable de la gestion de son nom de domaine. Il n’existe donc pas d’organisme ayant à charge la gestion de l’ensemble des noms de domaines.

 

Le système DNS, une faiblesse dans la cuirasse d’Internet

Simple et efficace, le système DNS n’en est pas moins dépourvu de faiblesses. Et depuis quelques années, un nombre croissant de cybercriminels ont entrepris de le corrompre pour voler des données.

En effet, alors que la plupart des firewalls installés dans les entreprises bloquent efficacement les mécanismes de transfert de données via les protocoles HTTP ou FTP, ils négligeaient jusqu’à présent les serveurs DNS, le plus souvent dépourvus de protection.

 

Pour corrompre le système DNS, les criminels utilisent généralement quatre techniques différentes :

  • Le « tunneling » DNS : les pirates ajoutent des données aux requêtes DNS d’une organisation et l’utilisent pour prendre le contrôle de son réseau et/ou pour exfiltrer ses données.
  • Le détournement du registrar : les cybercriminels piratent le compte commercial qui possède un registrar DNS, en utilisant l’ingénierie sociale ou en brisant des mots de passe, après quoi la propriété en est transmise à l’attaquant.
  • L’empoisonnement du cache : les hackeurs exploitent des serveurs mal configurés, ce qui leur permet d’injecter des informations d’adresse qui sont sans rapport avec l’adresse initiale.
  • Le « typosquatting »/détournement d’URL : les attaquants créent un nom de domaine presque identique à l’original visé, souvent afin de rediriger le trafic pour des attaques de « phishing ».

 

La protection contre ces types d’attaques impose donc aux entreprise une surveillance attentive des serveurs DNS et un contrôle en continu des requêtes DNS sortantes, ce qui n’est pas à la portée de toutes les organisations, encore moins des PME.

Technique la plus utilisée, le « tunneling » DNS touche un nombre sans cesse croissant d’entreprises, quelle que soit leur taille. Elle permet non seulement d’extraire des données à des débits élevés en passant au travers des firewalls, mais elle offre aussi aux cybercriminels un canal de commande et de contrôle pour leurs outils malveillants.

 

La sécurité de la couche DNS, une nécessité pour les entreprises, grandes ou petites

Heureusement, des spécialistes de la sécurité réseau ont pris la mesure de la menace. Des solutions existent aujourd’hui, accessibles aux grandes entreprises, mais aussi aux entreprises de plus petite taille comme les PME. Elles permettent de protéger les serveurs DNS, afin qu’elles puissent détecter et bloquer le trafic malveillant, avant que ce dernier ne s’introduise dans le système pour exfiltrer des données ou prendre le contrôle d’un poste de travail ou d’un serveur.

 

Les meilleures d’entre elles, intégrées aux solutions de sécurité réseau existantes, contrôlent non seulement toutes les requêtes DNS émises vers l’extérieur et bloquent le trafic vers des sites Web sur la base d’une liste de domaines malicieux connus, mais elles redirigent en plus les utilisateurs vers un espace où sont collectées des informations supplémentaires sur l’attaque, et où ceux-ci sont informés des pratiques à suivre afin de détecter et/ou prévenir de futures attaques.

%d blogueurs aiment cette page :