ven, 24/11/2017 - 15:51
Le règlement général sur la protection des données de l'Union européenne (GDPR) entrera en vigueur en mai 2018. Ainsi, il s’avère nécessaire que chacun cherche des moyens de sécuriser les données de ses clients pour protéger son entreprise contre des amendes GDPR pouvant aller jusqu'à 20 millions d’euros ou 4% du chiffre d'affaires mondial.
La plupart des entreprises utilisent une série d'outils de sécurité, tous conçus pour atténuer certains types d'attaque spécifiques. Le problème est qu'elles peuvent malgré cela demeurer exposées à des cybercriminels qui parviendraient à trouver une faille.
En tant que portier du réseau d'une organisation, un serveur DNS hautement sécurisé peut détecter et bloquer le trafic malveillant avant que ce dernier puisse s'introduire dans le système ou exfiltrer des données ou prendre le contrôle d'un poste de travail ou d'un serveur. Mais trop souvent, les entreprises n'ont pas les bons outils en place pour le faire.
Des organisations très diverses ont historiquement considéré le DNS comme un dispositif classique, négligeant de le sécuriser correctement. Mais avec l'attaque contre Dyn en octobre dernier qui a bloqué des sites tels que Spotify ou Twitter, il a été catapulté à la une des journaux.
Au début du mois d'avril, il a été révélé qu'une organisation criminelle avait réussi à pirater l'infrastructure DNS d'une banque brésilienne et à voler les coordonnées de chaque client qui se connectait pendant la durée de l’attaque. Les criminels ont évidemment compris que, plutôt que de mener une campagne de phishing, cibler les gens un à un pour voler leurs données serait plus rentable.
L'exfiltration de données via DNS est une préoccupation pour les entreprises dans le cadre des exigences de conformité de GDPR. Alors que la plupart des outils de sécurité bloquent les mécanismes de transfert de données comme le protocole de transfert de fichiers (FTP), un protocole Internet commun comme le DNS est souvent laissé sans protection. Ainsi, les attaquants disposent d’une porte de sortie en utilisant la connexion non bloquée à des serveurs DNS autoritaires. Les criminels utilisent généralement ces différentes techniques :
- Tunneling DNS : les pirates ajoutent des données aux requetes DNS d'une organisation et l'utilisent pour prendre lle contrôle de son réseau et/ou pour exfiltrer ses données.
- Détournement du registrar : les cybercriminels piratent le compte commercial qui possède un registrar DNS, en utilisant l'ingénierie sociale ou en brisant des mots de passe, après quoi la propriété en est transmise à l'attaquant.
- Empoisonnement du cache : les hackeurs exploitent les serveurs mal configurés, ce qui leur permet d'injecter des informations d'adresse qui sont sans rapport avec le l’adresse initial.
- Typosquatting / détournement d'URL : les attaquants créent un nom de domaine presque identique à l'original visé, souvent afin de rediriger le trafic pour des escroqueries par phishing.
Les pirates qui cherchent à extraire des données d'un réseau à l'aide du DNS utilisent également des logiciels gratuits qui permettent d’encoder des données. Avec ce logiciel, ils peuvent extraire des données en intégrant des blocs de données codées dans les requêtes DNS. Cette méthode est très lente mais extrêmement efficace, surtout lorsqu'il s'agit de données précieuses (ex : cartes de crédit).
En ce qui concerne le tunneling DNS, il peut être utilisé non seulement pour extraire des données, mais cela offre aux attaquants un canal de contrôle et de commande pour leurs outils. Le tunneling est également un moyen d'extraction rapide et récupérer jusqu’à 18 000 numéros de carte de crédit par minute.
Les attaquants ciblent généralement le DNS en tant que vecteur de menace car les technologies qui permettent de bloquer l'exfiltration via HTTP (Hypertext Transfer Protocol) ou FTP sont très évoluées. Les outils de sécurité traditionnels, tels que les pare-feu, se concentrent sur des itinéraires d'exfiltration plus faciles et forcent les attaquants à explorer d'autres méthodes.
Ces méthodes alternatives convergent vers le DNS, car les cybercriminels peuvent combiner des comportements malveillants avec un trafic normal pour tenter de contourner les outils de sécurité traditionnels. La pléthore de dispositifs mis à la disposition du personnel et des clients qui permettent d'accéder au Wi-Fi d'une entreprise constitue un défi pour les équipes de sécurité qui tentent d'identifier les adresses IP malveillantes.
Les organisations qui cherchent à atténuer ces risques, à protéger leurs réseaux et à se conformer au règlement GDPR, doivent déployer des outils tels que DNS Guardian, qui peut analyser le trafic DNS en temps réel pour identifier les attaques. Les cybercriminels font constamment évoluer leurs méthodes d'attaque, de sorte que les équipes de sécurité doivent se tenir au courant des dernières innovations en matière de sécurité DNS si elles veulent parvenir à protéger leur organisation et les données critiques menacées d'exfiltration.
Une approche à 360° de la sécurité du réseau permettra à l'organisation compétente de mieux se protéger, en particulier compte tenu des volumes croissants de trafic que doivent gérer les réseaux modernes. Le but du règlement GDPR est de s'assurer que les entreprises privilégient la sécurité et protègent les données de leurs clients. La mise en œuvre des bonnes solutions et des bons processus pour protéger le réseau de l'organisation est clairement une étape cruciale dans la bonne direction.
A propos de l'auteur