Le mois d’octobre est en Europe celui qui met à l’honneur la cybersécurité. L’objectif de cette opération est chaque année de sensibiliser les utilisateurs aux enjeux de sécurité numérique, tant à un niveau personnel que professionnel.
De nombreux acteurs se mobilisent à cette occasion pour alerter sur les risques cyber et informer sur les mesures de protection existantes.
C’est dans ce contexte qu’a été mis en ligne le site cybervictime.net!
Ce site est un manuel numérique de solutions faciles à mettre en place pour protéger son informatique et sa vie numérique.
Vous y trouverez des tutos intéressants traitant de la sécurité de :
votre ordinateur ;
votre téléphone portable ;
votre vie numérique et la protection de vos données personnelles ;
Dans un monde qui continue sa mue vers la digitalisation, les entreprises déjà bien au fait du cyberisque pesant sur les organisations, ont vu les menaces augmenter pendant la période COVID. La nécessité de sécuriser ses actifs numériques est plus que jamais au cœur des sujets IT.
Au programme de ce webinar à destination des Grands Comptes, Entreprises publiques et privées, Online Players et plus généralement des entreprises utilisant Internet comme canal de communication et de diffusion, notre expert revient sur :
L’importance stratégique du nom de domaine
Les attaques et risques liés à la gestion administrative
Les attaques et risques liés à la gestion technique
Les bonnes pratiques à mettre en place
Retrouvez ce webinar animé par Christophe GERARD, Security Product Manager de Nameshield Group, en replay sur la plateforme Webikeo :
Le nom de domaine est le premier lien entre l’internaute et votre site Web. C’est grâce au nom de domaine que l’on vous repère sur Internet, que vous êtes visible, que votre identité s’affiche et que vous développez votre business sur le net. C’est un actif numérique de votre entreprise.
La gestion et la configuration de ces noms de domaine passent la plupart du temps par l’accès à une interface de gestion. L’absence de politique en matière de sécurisation peut s’avérer dramatique.
Retrouvez dans cette fiche « 5 minutes pour comprendre », disponible en téléchargement sur le site de Nameshield, les solutions pratiques de sécurisation de vos accès.
Selon un rapport conjoint d’iYouPort, de l’Université du Maryland et du Great Firewall Report, les connexions TLS utilisant l’extension préliminaire SNI chiffrée (ESNI) sont bloquées en Chine. Un nouveau pas vers la censure et une volonté de pouvoir tracker les internautes.
Qu’est-ce que le SNI (Server Name Indication) ?
Lorsqu’un internaute consulte un site web en HTTPS://, cela signifie que le site est sécurisé par un certificat SSL/TLS. La consultation du site web commence par l’établissement de la connexion sécurisée, le « handshake ». Cette poignée de main se déroule en plusieurs étapes et vise à vérifier le certificat et établir le niveau de chiffrement de la connexion. Le premier message d’un handshake TLS est appelé « client hello ». Avec ce message, le client demande à voir le certificat TLS du serveur web. Le serveur doit joindre le certificat à sa réponse.
Présenter le bon certificat ne pose aucun problème dans le cas d’hébergements dédiés : une adresse IP, un seul certificat, contenant éventuellement plusieurs SAN (Subject Alternative Name) appartenant à la même organisation. Le problème intervient lors d’hébergements mutualisés où l’hébergeur dispose de la même adresse IP mais souhaite installer plusieurs certificats différents sous peine de devoir être le propriétaire du certificat en ajoutant des SAN pour tous ses clients. Pratique peu recommandée.
Le SNI répond à cette demande spécifique des hébergeurs et leurs hébergements mutualisés. Avec le protocole SNI, le client indique le nom de l’hôte (hostname) avec lequel il tente de démarrer une négociation TLS. Cela permet au serveur de présenter plusieurs certificats pour la même adresse IP (mais des noms d’hôte différents). Le SNI pourrait être comparé au numéro d’appartement d’une adresse postale : un immeuble comprend plusieurs appartements, et chaque appartement doit donc être identifié par un numéro différent. De même, si le serveur est indiqué par l’adresse IP, les appareils clients doivent intégrer le SNI dans leur premier message adressé au serveur pour indiquer quel site web (quel appartement) ils essaient d’atteindre.
Qu’est-ce que l’ESNI (Encrypted Server Name Indication) ?
L’établissement d’une connexion TLS chiffrée commence à la fin du handshake. Problème, le SNI n’est donc pas chiffré, car le message « client hello » est envoyé au début du handshake TLS. Un pirate peut reconstituer le parcours d’un internaute en lisant la partie SNI du handshake, même s’il n’est pas en mesure de déchiffrer les communications ultérieures. Le principal intérêt pour le pirate étant de pouvoir flouer l’internaute en créant un site de phishing. Par ailleurs, les géants du web aiment la confidentialité, et souhaitent préserver la confidentialité des données de navigation des utilisateurs. L’ESNI est donc né.
L’ESNI (Encrypted server name indication) chiffre la partie Server Name Indication (SNI) dans le handshake TLS. L’extension ESNI est accessible via la dernière version du protocole TLS, 1.3, de plus en plus largement adopté aujourd’hui. Le principe est de récupérer une clé de chiffrement via le DNS (qui lui-même peut être sécurisé via DNS via HTTPS). Encore à l’état de draft, certains gros hébergeurs l’implémentent déjà.
Et la Chine dans tout ça ?
Dans leur rapport, l’iYouPort, l’Université du Maryland et le Great Firewall Report, détaillent comment la Chine voit d’un très mauvais œil le chiffrement du handshake. Cela empêche effectivement l’outil de surveillance Great Firewall du gouvernement chinois de voir ce que font les internautes en ligne. La Chine a donc décidé de purement et simplement bloquer les connexions HTTPS établies via la dernière version du protocole TLS (la 1.3) associées à ESNI. De plus, les adresses IP impliquées dans la connexion sont bloquées temporairement pendant deux à trois minutes.
Des méthodes de contournement existent… mais jusqu’à quand ?
Les trois organisations semblent avoir trouvé des méthodes de contournement à appliquer côté client (dans les applications et les logiciels) ou côté serveur pour contourner le blocage actuel mis en place par le Great Firewall. « Malheureusement, ces stratégies spécifiques ne constituent peut-être pas une solution à long terme : à mesure que le jeu du chat et de la souris progresse, le Great Firewall continuera probablement à améliorer ses capacités de censure », écrivent les trois organisations dans leur rapport.
Dans une nouvelle étude d’août 2020, INTERPOL a mesuré l’impact du COVID-19 sur la cybercriminalité. Les résultats révèlent que si habituellement les premières cibles des cyberattaques restent les particuliers et les PME, celles-ci se sont significativement élargies aux grandes organisations et gouvernements pendant la période du COVID, laissant apparaître une nouvelle tendance de fond.
La mise en place du télétravail massif a évidemment ouvert des failles dans lesquelles ont pu s’engouffrer les cybercriminels cherchant à tirer parti.
Selon cette étude, entre janvier et avril 2020, 907 000 messages de spam, 737 incidents issus de malware et 48 000 URLs malicieuses, liés au COVID-19, ont été détectés.
Voici les cyberattaques les plus utilisées pendant la période COVID-19 :
Phishing
Ransomware
DDoS
Data harvesting malware
Cybersquatting / noms de domaine frauduleux
Fake news
En Europe, deux tiers des pays membres rapportent une augmentation majeure du nombre de noms de domaine cybersquattés contenant les mots clés COVID ou CORONA et des déploiements de ransomware sur des infrastructures critiques.
Le clonage des sites officiels des gouvernements augmente quant à lui massivement, les cybercriminels cherchant à voler des données sensibles utilisables dans des attaques futures.
Vous découvrirez dans ce rapport l’ensemble des mesures mises en place par INTERPOL.
Il est plus que jamais crucial de sécuriser au maximum vos noms de domaine porteurs de services critiques et de protéger vos infrastructures. Nos consultants sont bien sûr à votre disposition pour vous accompagner sur ces points.
Le DNS inversé (ou reverse DNS) est souvent méconnu des gestionnaires de noms de domaine, en particulier quand les noms sont hébergés par de grandes sociétés d’hébergement. Le DNS inversé permet de faire une résolution depuis une adresse IP vers un FQDN. C’est l’exact opposé de l’utilisation classique du DNS qui fait correspondre des noms de domaine avec des adresses IP. Le reverse DNS permet de répondre à la question : j’ai une adresse IP, quel est le FQDN qui s’y rapporte ?
Le reverse DNS fonctionne via la création d’une zone DNS reverse dans laquelle des enregistrements DNS PTR (pour Pointer Record) vont être configurés.
DNS classique : Record A : on connaît le nom d’un site et on souhaite récupérer son adresse IP…
DNS inversé PTR : on connaît une adresse IP et on souhaite récupérer le nom du site.
Le système de résolution se construit de manière similaire à la résolution classique. Pour opérer la résolution DNS, l’adresse IP à interroger est configurée dans la zone reverse avec le suffixe .arpa et pointe vers la destination requise. Le principe est le même pour les adresses IP v4 et v6 selon la construction suivante :
Ex: IPv4 : 11.80.92.81.in-addr.arpa. IN PTR capp.perf1.com.
Ex: IPv6 : 0.0.0.0.0.0.0.0.0.1.0.1.0.0.0.0.0.8.c.0.0.1.0.a.2.ip6.arpa. 4080 IN PTR capp.perf1.com.
Cette construction permet d’opérer une résolution DNS classique sur un nom de domaine avec une extension «.arpa».
Pourquoi est-ce si important ?
Le DNS inversé est principalement utilisé pour le suivi de la provenance d’un visiteur du site Web, de l’origine d’un message électronique, etc. Il n’est généralement pas aussi critique que le DNS classique, les visiteurs atteindront le site Web même sans la présence de DNS inversé pour l’IP du serveur Web ou l’IP du visiteur.
Cependant, le DNS inverséest important pour une application particulière : la messagerie.
De nombreux serveurs de messagerie sur Internet sont en effet configurés pour rejeter les e-mails entrants provenant de toute adresse IP qui n’a pas de DNS inversé. Pour celui qui gère son propre serveur de messagerie, le DNS inversé doit exister pour l’adresse IP à partir de laquelle le courrier électronique sortant est envoyé.
Peu importe l’adresse vers laquelle pointe l’enregistrement DNS inversé de l’adresse IP, un enregistrement reverse est attendu. Dans le cas d’hébergement de plusieurs domaines sur un même serveur de messagerie, il suffit de configurer le DNS inversé pour pointer vers le nom de domaine considéré comme principal (Les serveurs de messagerie vérifiant le DNS inversé reconnaissent qu’il est normal d’héberger de nombreux domaines sur une seule adresse IP et qu’il serait impossible de répertorier tous ces domaines dans le DNS inversé pour l’IP).
Nous vous recommandons de vérifier la possibilité de paramétrer un DNS inversé auprès de votre solution d’hébergement DNS.
Si les noms de domaine sont fréquemment l’objet d’attaques, la crise engendrée par le COVID-19 dans le monde entier a également impacté ce secteur. Les entreprises, déjà soumises à rude épreuve en temps normal, ont fait face à une difficulté supplémentaire : se protéger des attaques informatiques en très forte augmentation depuis les débuts de la pandémie.
Découvrez dans cette infographie quelles mesures simples et efficaces votre entreprise peut mettre en place pour protéger vos actifs et votre business, en tout temps.
Le DNS est au cœur des services critiques de l’entreprise : Internet, e-mail, applications… Il doit rester disponible et avoir un niveau élevé de sécurité. En effet une interruption de services aurait de lourdes conséquences pour les entreprises victimes.
Pourtant, le DNS est bien souvent l’infrastructure la moins sécurisée d’une entreprise et est exposé à de nombreuses attaques potentielles.
Découvrez dans cette nouvelle infographie, disponible en téléchargement sur le site de Nameshield, quelles sont les vulnérabilités de l’architecture DNS, les différentes attaques et comment assurer la disponibilité et la protection des services en ligne.
Avec l’épisode 1 toujours disponible ici, que vous pouvez également retrouver synthétisé sous forme d’infographie ici, vous avez commencé à appréhender l’ampleur de l’impact du Covid 19 sur les noms de domaine : sa répartition géographique, les multiples motivations sous-jacentes (notamment frauduleuses !), la créativité sans limite des pirates, et leurs conséquences pour les internautes et les marques.
Vous allez maintenant découvrir que la dynamique s’amplifie, et que les dépôts de marques liées au virus prennent également leur envol. Nous mettrons un coup de projecteur particulier sur les masques, petits accessoires qui se sont brusquement invités dans nos vies et préoccupations.
Comment la crise sanitaire impacte leur commercialisation, les innovations qui y sont liées ? Comment ces innovations sont-elles protégées par les dessins et modèles ? Mais aussi, quelles fraudes sont déjà décelées autour de ces masques ?
Face à ces diverses menaces allant des fraudes aux attaques, il existe bien sûr des solutions efficaces. Nous partagerons avec vous un panorama des différents moyens de se défendre ou défendre sa marque.
Enfin, nous vous proposerons une prospective sur la perception que nous avons communément des masques, qui passera d’un outil médical à un vrai accessoire de mode. Cela aura des implications quant aux risques que nous pouvons déjà anticiper.
Épisode 1 – Comprendre les impacts de la crise sanitaire sur les noms de domaine
Le COVID 19 bouleverse la marche du monde. Toutes les activités humaines sont touchées, en particulier celles sur Internet, son usage en étant démultiplié. Les impacts sur le web sont multiples. Certains sont déjà bien visibles pour le grand public : enjeux de bande passante ou nouveaux usages liés au télétravail par exemple. D’autres sont moins évidents, c’est notamment le cas dans l’univers des noms de domaine, l’expertise du groupe Nameshield depuis 26 ans.
Un nom de domaine est le nom suivi d’une extension (.xxx) qui s’affiche dans l’adresse de connexion d’un site Internet. Exemple : https://www.amazon.fr ou www.france.tv. Les noms de domaine sont des actifs immatériels d’une importance cruciale, et trop souvent méconnus. La pandémie en cours a lancé une vague très forte d’enregistrements de nouveaux noms de domaine, et même de quelques marques. Cet engouement laisse apparaître de fortes disparités géographiques, et une évolution dans le temps des termes choisis, « Covid19 » remplaçant « Coronavirus » au cours du mois de février.
Les motivations sous-jacentes sont nombreuses. Certaines sont déjà explicites, d’autres peuvent se deviner. Si certains motifs semblent louables, d‘autres le sont nettement moins, allant de la simple spéculation à la préparation de fraudes de natures très variées.
Le panorama dans ce domaine est large : Sites d’appels aux dons imitant des organismes publics, conseils de santé surprenants, ventes de tests et de masques (qui n’arriveront jamais chez vous…), et même remboursements d’impôts. Vous découvrirez un florilège de thèmes assez hétéroclites et ne manquant pas de créativité. Les e-books sont aussi largement plébiscités, surfant sur l’idée que le confinement verra les internautes se tourner vers ces produits. Des téléchargements sont ainsi offerts, mais pas forcément de la nature escomptée !
Nous étudions ici ce phénomène en profondeur, en partant de 10 thèmes principaux identifiés. C’est par ces angles que nous allons creuser « l’iceberg des menaces », et en explorer le contenu.
Nous anticipons aussi des attaques ciblées géographiquement, ou portant sur des noms de grandes marques qui ont déjà été réservés. Autant de menaces à surveiller de près pour les entités concernées.
Nous poursuivrons l’exploration de cet iceberg dans de futures parutions, que nous mettrons à votre disposition dans les semaines à venir. Nous aborderons les impacts décelés sur les applications mobiles et les réseaux sociaux. Nous vous ferons découvrir notre méthode de cartographie pour suivre, et anticiper autant que possible, ces différentes atteintes. Nous proposerons également des conseils d’experts pour se prémunir, ou se défendre, contre ces différentes attaques.
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience. Plus d'informations dans notre politique de cookies 🍪.
Ces cookies sont essentiels au bon fonctionnement du site web. Ils assurent les fonctionnalités de base et les fonctions de sécurité du site web, de manière anonyme.
Cookie
Durée
Description
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional
1 year
The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
Ces cookies aident à réaliser certaines fonctionnalités comme le partage du contenu du site web sur les plateformes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités de tiers.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Ces cookies sont utilisés pour comprendre comment vous arrivez sur notre Site et pour mesurer le nombre de visiteurs.
Cookie
Durée
Description
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14
1 minute
Set by Google to distinguish users.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT
2 years
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
Ces cookies sont utilisés pour vous proposer des offres et services personnalisés, plus adaptés à vos centres d’intérêts.
Cookie
Durée
Description
NID
6 months
NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE
5 months 27 days
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
session
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
![[REPLAY WEBINAR] Cyberisque : panorama des attaques sur le DNS et le nom de domaine, cas concrets et solutions à mettre en place](https://blog.nameshield.com/fr/wp-content/uploads/sites/3/2020/09/replay_article_blog.png)
![[INFOGRAPHIE] Les mesures simples à mettre en place pour protéger efficacement vos noms de domaine](https://blog.nameshield.com/fr/wp-content/uploads/sites/3/2020/06/vignette.png)
![[INFOGRAPHIE] Les mesures simples à mettre en place pour protéger efficacement vos noms de domaine](https://blog.nameshield.com/fr/wp-content/uploads/sites/3/2020/06/bandeau.png)
![[INFOGRAPHIE] Les mesures simples à mettre en place pour protéger efficacement vos noms de domaine](https://blog.nameshield.com/fr/wp-content/uploads/sites/3/2020/06/apercu.fw_.png)
![[INFOGRAPHIE] Les vulnérabilités de l’architecture DNS](https://blog.nameshield.com/fr/wp-content/uploads/sites/3/2020/05/Les-vulnérabilités-du-DNS-Nameshield-.png)
