L'évolution du panorama des menaces DNS

Le DNS n'a pas été conçu pour la sécurité

Le DNS (Domain Name System) a été conçu dans les années 1980 lorsque l'accès Internet était limité aux organismes publics, aux scientifiques et aux militaires. La principale préoccupation des premiers architectes du système était la fiabilité et la fonctionnalité, et non la sécurité. Par conséquent, les serveurs DNS ont toujours été vulnérables à un large spectre d'attaques, notamment l'usurpation d'identité, l'amplification et le déni de service.

Et ces attaques sont devenues de plus en plus courantes. Selon le Rapport mondial sur les menaces DNS 2021 de l'IDC, 87 %des entreprises ont essuyé des attaques DNS au cours de l'année écoulée, soit une augmentation de 8 % par rapport à l'année précédente. Beaucoup de ces attaques ont eu de graves conséquences. Le rapport a révélé que 76 % des attaques DNS ont entraîné des temps d'arrêt des applications et que le temps moyen pour mettre fin à une attaque a été de cinq heures et demie.

Un certain nombre de facteurs permet d'expliquer l'augmentation des attaques et les entreprises doivent mettre en place un plan pour répondre à chacun de ces facteurs.

Au cours des dernières années, deux changements ont eu lieu dans le paysage DNS : les nouvelles vulnérabilités DNS et l'évolution des habitudes de navigation sur Internet en raison de la pandémie de COVID-19. Pour répondre à ces nouvelles menaces et se défendre contre les menaces existantes, les entreprises doivent accorder une priorité accrue à la sécurité DNS en général et mettre en œuvre une approche multi-couches qui va au-delà du protocole DNSSEC.

Les nouvelles cybermenaces exploitent le DNS et en abusent

En 2021, 44 % des entreprises ont identifié les attaques basées sur le DNS comme l'un de leurs plus grands défis en matière de sécurité. Un rapide coup d'œil sur l'année écoulée suffit pour le comprendre.

Pour commencer, plusieurs nouvelles vulnérabilités liées au DNS ont récemment été mises en évidence, notamment :

• Les attaques par empoisonnement de cache de type « Mot de passe oublié ». Les liens « Mot de passe oublié » constituent un élément fréquent au sein des applications web, mais une vulnérabilité découverte en juillet 2021 les a rendus sensibles aux attaques par empoisonnement de cache. Après avoir procédé à des attaques par empoisonnement du cache sur 146 applications web vulnérables, les chercheurs spécialisés dans la sécurité ont découvert qu'ils pouvaient rediriger les e-mails de réinitialisation de mot de passe vers des serveurs contrôlés par des acteurs malveillants. Ce type d'attaque leur permettait de cliquer sur le lien et de réinitialiser le mot de passe de l'utilisateur afin de se frayer un accès légitime à son compte.

• L'exposition de données au sein d'un DNS géré. Les recherches présentées lors du Black Hat USA 2021 ont démontré que les bugs affligeant certains services DNS gérés pouvaient exposer le trafic DNS d'une entreprise contenant des informations sensibles. En enregistrant un domaine portant le même nom que le serveur de noms DNS sur le service DNS Route53 d'Amazon ou le DNS Google Cloud, l'acteur malveillant pouvait faire en sorte que l'ensemble du trafic DNS soit envoyé à son serveur. Ce procédé entraînait une exposition des informations sensibles et pouvait donner lieu à des attaques par usurpation DNS.

• Les attaques DDoS tsuNAME contre les serveurs DNS. La vulnérabilité tsuNAME, une faille dans le logiciel résolveur d'un DNS, permet de lancer des attaques DDoS contre les serveurs DNS. Elle peut engendrer un phénomène de « dépendances cycliques » entre les domaines, dans lequel le domaine A délègue au domaine B et vice-versa. Les résolveurs DNS vulnérables commencent ainsi à tourner en boucle lorsqu'on leur présente des domaines entraînant des dépendances cycliques. Dans un cas, les interactions entre deux domaines micro-configurés seulement ont réussi à produire une augmentation de 50 % du trafic adressé aux serveurs DNS de référence .nz en 2020.

L'essor du télétravail a également inspiré d'autres attaques DNS. Depuis le début de la pandémie de COVID-19, plusieurs acteurs malveillants s'en sont pris aux routeurs domestiques en lançant des attaques de détournement DNS. Lors d'un détournement DNS, l'acteur malveillant fait en sorte que l'enregistrement DNS d'un domaine légitime pointe vers un site sous son contrôle. Lors de ces récentes attaques, le site compromis prétendait proposer des informations sur le virus de la COVID-19, mais installait en réalité un logiciel malveillant sur l'appareil de l'utilisateur.

Comme de nombreux collaborateurs travaillent désormais à domicile, que ce soit à temps plein ou à temps partiel, la compromission de leurs appareils constitue un risque de sécurité réseau considérable. Un rapport de la Global Cyber Alliance a révélé que près d'un tiers des violations de données à travers le monde avait pour origine des problèmes de sécurité DNS.

Des menaces DNS existantes persistent également

Ces vecteurs de nouvelles attaques DNS viennent s'ajouter à une longue liste de menaces connues. Certaines des attaques les plus courantes impliquant l'infrastructure DNS comprennent :

• Les attaques de déni de service DNS qui entravent les services DNS en bloquant l'accès aux sites qu'ils servent. Ces attaques sont capables d'épuiser les ressources du serveur en envoyant des requêtes pour des domaines inexistants (NXDOMAIN) ou des sous-domaines aléatoires, ou peuvent être à l'origine d'attaques DDoS (DoS distribué) contre un serveur DNS.

• L'usurpation DNS : similaire au détournement de DNS, mais ciblant les résolveurs DNS, qui mettent en cache les enregistrements DNS couramment ou récemment demandés. Une attaque d'usurpation DNS ou d'empoisonnement du cache introduit de faux enregistrements DNS dans le cache d'un résolveur, faisant en sorte que les requêtes envoyées à ces domaines soient acheminées vers un site Web contrôlé par l'attaquant.

• L'amplification DDoS du DNS, qui tire avantage de services qui communiquent sur UDP et génèrent des réponses beaucoup plus importantes que la requête correspondante. Ces facteurs permettent à l'attaquant d'envoyer des requêtes au service et de faire en sorte que ces réponses massives soient envoyées à la cible. Une attaque d'amplification DNS inonde la cible avec des réponses DNS, épuisant ainsi la bande passante et submergeant les serveurs cibles.

• La tunnellisation DNS : exploite les autorisations de trafic DNS pour contourner les pare-feu de l'entreprise. Ces attaques utilisent le trafic DNS pour transporter les données entre le logiciel malveillant et le serveur de données contrôlé par l'attaquant.

L'impact des attaques DNS

La variété importante au sein du paysage des attaques DNS entraîne également une variété de conséquences. Quelles que soient les circonstances, ces conséquences sont souvent graves.

Les attaques DDoS DNS (comme celles qui exploitent la faille tsuNAME mentionnée plus haut) peuvent entraîner une baisse des performances des applications web ou leur arrêt pur et simple. Le DNS constitue une première étape cruciale dans la capacité d'un site web à se charger rapidement. Or, ce type d'attaques mobilisent des ressources serveur qui pourraient être autrement utilisées à la gestion de requêtes légitimes. En 2020, 42 % des entreprises ayant subi une attaque DNS ont indiqué que leur site web avait été compromis d'une manière ou d'une autre.

Même les attaques qui ne sont pas conçues à la base pour entraîner la mise hors ligne des services DNS (comme les attaques DDoS par amplification DNS ou la tunnellisation DNS) peuvent générer de gros volumes de trafic sur les serveurs DNS. Ce fléchissement des performances a plusieurs conséquences secondaires, notamment un recul des taux de conversion et une baisse du classement dans le référencement organique parmi bien d'autres.

Les attaques d'usurpation, de détournement et d'empoisonnement du cache peuvent également affecter les conversions d'un site Web en détournant les clients potentiels du site légitime. De plus, le fait que le site d'une entreprise soit considéré comme étant mal sécurisé peut porter atteinte à la réputation de la marque de cette entreprise sur le long terme.

Les attaques DNS peuvent également avoir de graves conséquences sur la sécurité réseau d'une entreprise. Les vulnérabilités citées plus haut chez certains fournisseurs DNS gérés ont ainsi entraîné l'exposition de trafic privé à des acteurs malveillants. Il s'agit là d'un problème de sécurité majeur. Les attaques par tunnellisation DNS qui installent et contrôlent des logiciels malveillants sur un réseau peuvent avoir diverses conséquences, comme la perte de données et la prise de ressources en otage contre rançon.

Globalement, le coût moyen d'une attaque DNS en 2020 dépassait les 900 000 USD.

Atténuer la menace des attaques DNS

En prenant un certain nombre de mesures, les entreprises peuvent atténuer les attaques DNS. En tête de liste : mettre en oeuvre certaines solutions de sécurité DNS. Le rapport de l'IDC a révélé que 42 % des entreprises n'ont pas déployé de solutions de sécurité DNS dédiées.

La protection contre ces attaques nécessite des solutions de sécurité DNS. Cependant, ces solutions doivent être soigneusement conçues et mises en œuvre pour s'assurer qu'elles n'affectent pas les performances des requêtes DNS légitimes.

Voici quelques options d'atténuation des attaques DNS :

• DNSSEC : DNSSEC est un protocole de sécurité qui signe les réponses provenant des serveurs DNS. Il offre une protection contre le détournement et l'usurpation du DNS en authentifiant les données retournées au client.

• Infrastructure redondante : les attaques DoS contre l'infrastructure DNS consistent souvent à envoyer au serveur DNS plus de trafic qu'il ne peut gérer. En provisionnant généreusement les serveurs et en utilisant la technique Anycast, la charge peut être équilibrée entre des serveurs multiples. Cela permet d'assurer la disponibilité si un serveur est surchargé ou tombe en panne.

• Pare-feu DNS : un pare-feu DNS se situe entre le serveur de noms principal d'un domaine et les résolveurs récursifs des utilisateurs. Le pare-feu peut limiter les requêtes afin d'offrir une protection contre les attaques DDoS ou filtrer le trafic pour bloquer les requêtes malveillantes ou suspectes.

• DNS chiffré : par défaut, le DNS est un protocole non chiffré et non authentifié. Le DNS sur HTTPS (DoH) et le DNS sur TLS (DoT) offrent des fonctions de chiffrement et d'authentification.

Sécuriser le DNS avec Cloudflare

Cloudflare aide des millions de clients à atténuer l'ensemble du spectre des menaces DNS. Le DNS géré par Cloudflare propose le déploiement du DNSSEC en un seul clic afin d'assurer une protection contre les attaques par usurpation DNS et par détournement DNS. Il s'appuie sur la capacité totale de 100 Tb/s du réseau Cloudflare (soit une capacité bien supérieure à l'attaque DDoS DNS la plus volumineuse jamais enregistrée) afin de bloquer les attaques DDoS et les autres types d'attaque.

Le réseau Cloudflare est soutenu par un ensemble d'informations sur les menaces issu de millions de sites web, d'API et de réseaux qui lui permet de toujours conserver une longueur d'avance sur les vulnérabilités les plus récentes, et ce automatiquement.

Ces dispositifs de sécurisation opèrent sans aucun compromis sur les performances. Cloudflare exploite le DNS principal le plus rapide du monde, avec un temps de résolution moyen de 11 ms. Vous pouvez même conserver votre infrastructure DNS existante tout en utilisant la solution Cloudflare comme fournisseur de service DNS secondaire ou au sein d'une configuration principale cachée.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Points clés

Cet article vous permettra de comprendre les points suivants :

• L'importance de la sécurité DNS

• Les récentes vulnérabilités DNS et leurs conséquences

• Comment identifier les attaques DNS courantes

• Comment améliorer la sécurité DNS
  

Ressources associées

• Plus de sécurité, performances et fiabilité pour le DNS

• Qu'est-ce que le DNS ?

• DNS Cloudflare