Vos noms de domaine sont pour votre entreprise des actifs immatériels de grande valeur.
Parce que votre plateforme de gestion de noms peut être une cible de choix pour les pirates, il est crucial de sécuriser vos accès.
Voici une infographie vous expliquant quels sont les risques encourus si vos accès sont mal protégés et les 5 éléments garantissant qu’une plateforme est hautement sécurisée.
L’ICANN a confirmé le changement de clé KSK du DNS racine en date du 11 octobre 2018.
Pour bien comprendre, reprenons brièvement les bases. L’Internet fonctionne notamment grâce au système DNS (Domain Name System). Véritable carnet d’adresse du web, le DNS traduit en adresse IP les noms de domaine, permettant ainsi à chacun de se connecter à l’adresse voulue. Le DNS est de fait indispensable au bon fonctionnement d’Internet, pas tant d’un point de vue technique, mais d’un point de vue opérationnel. Il serait en effet aujourd’hui inconcevable de devoir utiliser des adresses IP à la place de noms de domaine pour naviguer sur le web.
Le DNS va permettre à l’internaute de renseigner dans son navigateur web, un nom de domaine pour accéder à un site web. Le navigateur va alors « résoudre » ce nom de domaine pour obtenir l’adresse IP du serveur web qui héberge ce site web et l’afficher. On appelle ça la « résolution DNS ».
Du fait de sa position centrale dans le bon fonctionnement du web, le DNS doit donc être protégé et rester hautement disponible. Si ce protocole a bien été conçu avec un souci de sécurité, le contexte cybercriminel était alors bien différent et plusieurs failles ont depuis été détectées.
C’est pour le renforcer et contrer ces vulnérabilités que le protocole DNSSEC a été développé.
DNSSEC permet de se prémunir de différents types d’attaques, en particulier l’empoisonnement du cache, en assurant l’intégrité de la résolution DNS.
Pour assurer l’intégrité de la résolution DNS, DNSSEC permet d’établir une chaine de confiance qui remonte jusqu’à la racine du DNS. La sécurité des données est effectuée à l’aide d’un mécanisme de clés (KSK pour Key Signing Key & ZSK pour Zone Signing Key) qui signe les enregistrements DNS de sa propre zone. Les clés publiques KSK sont alors envoyées au registre correspondant pour être archivées ; le registre étant lui-même lié via DNSSEC au serveur root, la chaine de confiance s’établit. Chaque zone DNS parente, garantit l’authenticité des clés de ses zones filles en les signant.
C’est aujourd’hui pour renforcer ce protocole de sécurité que l’ICANN a décidé de changer la fameuse clé DNSSEC le 11 octobre prochain.
Le roulement KSK va donc permettre de générer une nouvelle paire de clés cryptographiques publiques et privées et de distribuer le nouveau composant public aux parties qui utilisent les résolveurs de validation.
Il n’est bien sûr pas souhaitable qu’une clé cryptographique demeure identique et ne soit pas modifiée. C’est ce changement qui pourra assurer que l’infrastructure DNS est en mesure de supporter un changement de clé, en cas d’urgence notamment. Depuis qu’elle est entrée en fonctionnalité en 2010, la clé KSK utilisée pour les DNSSEC de la zone racine n’a jamais été modifiée.
L’ICANN a expliqué que « l’évolution permanente des technologies et des installations Internet, le déploiement de dispositifs IoT et l’augmentation de la capacité des réseaux dans le monde entier, conjugués au défaut regrettable de sécurité de ces dispositifs et de ces réseaux, font que les attaquants disposent d’une capacité de plus en plus grande de paralyser les infrastructures Internet ». « Plus précisément, cette force d’attaque risque de dépasser les capacités de la communauté des opérateurs de serveurs root et elle ne sera pas en mesure d’opposer une défense adéquate. »
Aujourd’hui, 25% des utilisateurs mondiaux d’Internet, c’est-à-dire 750 millions de personnes, utilisent des résolveurs validant les réponses avec DNSSEC.
Plusieurs types de structures pourraient être affectés par le roulement de la clé :
L’ICANN propose un banc d’essai pour toutes les parties souhaitant s’assurer que leurs systèmes peuvent gérer correctement le processus de mise à jour automatique : go.icann.org/ksktest
Pour plus d’informations : https://icann.org/kskroll
On s’en souvient, Bercy avait testé ses agents l’an dernier afin de les sensibiliser à la cybersécurité. Cette année, à l’occasion du mois de la cybersécurité, le ministère des finances a lancé une initiative concernant l’évaluation de la résilience des noms de domaine au regard de leur messagerie électronique, en adoptant un système d’affichage similaire à celui des étiquettes énergies : https://ssi.economie.gouv.fr/
A l’aide de cet outil, vous pouvez saisir les noms de domaine de vos expéditeurs afin de vérifier le niveau de sécurité technologique associé. A noter que les notes ‘A++’ sont considérées par Bercy comme étant plus sécurisées que des LRAR – lettre recommandée avec accusé de réception.
Les critères d’évaluation sont tous techniques et la liste est présentée dans la partie FAQ de l’initiative : DNSSEC (sécurité du DNS), MX (serveur mail), SPF, DKIM, DMARC (adresses IP légitimes), et autoconfig (configuration des clients de messagerie) sont ainsi les indicateurs utilisés.
L’initiative est louable, d’autant plus qu’elle est présentée comme étant un indicateur permettant d’être une base pour les marchés publics : l’évaluation idoine permet ainsi d’avoir une représentation imagée de la qualité du prestataire technologique. L’arrêté correspondant est d’ailleurs paru récemment.
Là où l’on peut s’interroger, c’est sur le choix de la représentation visuelle : utiliser une étiquette-énergie pour représenter une information de sécurité informatique, c’est dévoyer l’usage originel. Si l’on parlait de la consommation énergétique des serveurs associés aux noms de domaine, pourquoi pas. Il en résulte un travail intéressant pour les ergonomes-dessinateurs : inventer un modèle de représentation de la sécurité technologique internet. A vos tablettes graphiques !
En novembre 2016, Tesco Bank, banque de détail britannique détenue à 100% par le groupe de distribution Tesco, avait essuyé une attaque informatique d’une ampleur alors inédite dans ce secteur. En moins de 48 heures, les pirates avaient réussi à prélever sur des comptes clients près de 2.26 millions de livres.
40 000 comptes avaient été touchés par cette attaque et l’argent avait été subtilisé par les cybercriminels sur 20 000 d’entre eux.
Même s’il s’agissait de montants peu élevés et que ceux-ci avaient été remboursés aux victimes, la question de la solidité et la fiabilité des systèmes informatiques du secteur bancaire avait bien sûr été soulevée.
La décision de justice rendue par le FCA (Financial Conduct Authority), le régulateur financier du Royaume-Uni, est assez éloquente en la matière, jugeant que la banque n’a pas suffisamment protégé ses utilisateurs contre les cyberattaques. Les cybercriminels avaient en effet réussi à exploiter des failles pour mener à bien leur attaque, notamment dans le système de conception des cartes bancaires.
Si Tesco risquait une amende de 33.6 millions de livres, le groupe a finalement écopé d’une sanction de 16.4 millions de livres, soit environ 18.4 millions d’euros.
Le but de cette amende : montrer que le régulateur financier n’a « aucune tolérance pour les banques qui échouent à protéger les clients contre des risques prévisibles »*, souligne Mark Steward, executive director of enforcement and market oversight au FCA.
Le FCA a ainsi exprimé que Tesco Bank avait manqué à ses obligations de vigilance quant à :
Mark Steward ajoute également que dans le cas précis de l’attaque de novembre 2016, la banque n’avait géré une alerte spécifique qu’une fois que l’attaque avait débuté.
Pour la FCA, « la norme doit être désormais celui de la résilience, afin de réduire en amont le risque d’une cyberattaque, pas seulement de réagir à celle-ci »**.
*“The fine the FCA imposed on Tesco Bank today [1st October] reflects the fact that the FCA has no tolerance for banks that fail to protect customers from foreseeable risks”.
**“The standard is one of resilience, reducing the risk of a successful cyber attack occurring in the first place, not only reacting to an attack.”
Alors que Le Monde se rend compte de l’évolution des pages qui sont renommées au fil du temps sur Facebook, passant d’un intitulé à un autre, interrogeons-nous quelques instants sur les sites Internet traditionnels, qui possèdent un nom de domaine.
Le monde évolue, les environnements et les entreprises, associations ou autres structures également. Même si XEROX communique depuis le 9 janvier 1996 avec le nom de domaine XEROX.COM, les noms de domaine vivent leurs périodes d’enregistrement, d’utilisation et d’abandon.
Ainsi, alors que l’on estime à 340 millions de noms de domaine existant actuellement, plus d’un milliard de noms de domaine ayant existé ont pu être enregistrés.
Acceptons que nous puissions vivre dans un monde mouvant, évoluant avec le temps. Comment être certain d’être sur le bon site Internet si nous nous référons aux noms de domaine ? Le certificat SSL ?
Oui, s’il s’agit d’un certificat EV (niveau d’authentification élevé avec un contrôle complet de l’organisation. Les règles pour l’attribution d’un certificat EV sont définies par le forum CA/Browser et sont strictement contrôlées).
Que faire de plus ? Il est nécessaire de proposer une solution pérenne quant à l’identification de l’émetteur afin que chacun puisse être en confiance sur Internet, par exemple pour le titulaire du nom de domaine, adopter systématiquement un certificat EV avec le niveau d’authentification le plus élevé. Côté utilisateur, il faut être vigilant et vérifier les données propriétaire du site visité.
Alors que la revente de noms de domaine expirés pour des objectifs de SEO ou de phishing continue à évoluer, il est primordial d’assurer une gestion commune Marques, Noms de domaine et Certificats SSL.
Nameshield vous accompagnera dans cette démarche, n’hésitez pas à prendre contact avec nos experts.
La sécurité du DNS est souvent négligée en matière de stratégie de cybersécurité, la plupart des entreprises n’étant pas suffisamment préparées pour se défendre contre les attaques DNS.
Dimensional Research * a interrogé plus de 1 000 professionnels de la sécurité et de l’informatique dans le monde et a constaté que 86% des solutions DNS n’alertaient pas les équipes de sécurité lors d’une attaque DNS et près du tiers des professionnels doutaient que leur entreprise puisse se défendre.
Ces résultats font suite à la célèbre attaque DDoS subie par DNS Dyn en octobre 2016, attaque qui a rendu inaccessibles des dizaines de sites majeurs, dont Netflix, Airbnb, Amazon, CNN, New York Times, Twitter et plus. L’impact généralisé de cette attaque a mis en lumière une réalité surprenante : de nombreuses entreprises ne disposent pas de moyens de défense suffisants en matière de sécurité DNS. Malgré ce qui aurait dû être une sensibilisation du fait de la visibilité de l’attaque, seules 11% des entreprises ont des équipes de sécurité dédiées à la gestion du DNS, le DNS n’étant toujours pas traité au niveau de priorité adéquat.
« Nos recherches révèlent un écart sur le marché, alors que nous avons constaté que la sécurité DNS est l’une des trois principales préoccupations des professionnels de l’informatique et de la sécurité, la grande majorité des entreprises ne sont pas suffisamment équipées contre les attaques DNS« , dixit David Gehringer responsable chez Dimensional Research. « Cela vient du fait que les entreprises sont uniquement réactives en matière de sécurité du DNS, n’accordant la priorité à la défense du DNS qu’après avoir subi une attaque. À moins que les organisations d’aujourd’hui ne commencent à adopter une approche proactive, les attaques DDoS telles que celle sur le fournisseur DNS Dyn deviendront de plus en plus répandues. »
Trois entreprises sur dix ont déjà été victimes d’attaques DNS. Parmi celles-ci, 93% ont connu une indisponibilité de leurs services suite à leur dernière attaque DNS. 40% sont tombées une heure ou plus, ce qui a eu un impact considérable sur leurs activités.
Bien que 71% des entreprises déclarent avoir une surveillance en temps réel des attaques DNS, 86% des solutions ne sont pas les premières à notifier les attaques de DNS. De plus, 20% des entreprises ont d’abord été alertées par des plaintes de clients à propos d’attaques DNS, ce qui a eu un impact sur leurs activités, leur réputation et la satisfaction de leurs clients.
Seules 37% des entreprises sont en mesure de se défendre contre tous les types d’attaques DNS (détournements, exploits, empoisonnements de cache, anomalies de protocole, réflexion, amplification), ce qui signifie que la majorité (63%) parie essentiellement sur le fait que la prochaine attaque DNS est une attaque qu’ils peuvent repousser.
Avant une attaque, 74% des entreprises se concentrent sur la surveillance antivirus en tant que priorité de leur sécurité. Cependant, après une attaque, la sécurité du DNS passe à la première place avec 70% des personnes interrogées affirmant que c’est le point de sécurité le plus important. Cela démontre une approche réactive et que le DNS n’est pas une priorité tant qu’une entreprise n’a pas été attaquée et n’a subi aucune perte tangible.
24% des entreprises ont perdu 100 000 $ ou plus lors de leur dernière attaque DNS, ce qui a eu un impact considérable sur leurs résultats. 54% ont perdu 50 000 $ ou plus. Comme le montrent les chiffres, une fois que les sites Web sont devenus inaccessibles, toutes les activités et tous les revenus numériques s’arrêtent, tandis que les ressources internes sont redirigées vers la résolution de l’attaque plutôt que vers l’activité. Sans parler des pertes de données clés (email), de l’impact sur l’image de marque de la société et du nombre d’internautes qui se détournent au profit d’autres sites disponibles.
« La plupart des entreprises considèrent le DNS comme une simple infrastructure plutôt que comme une infrastructure critique nécessitant une défense active », a déclaré Cricket Liu, architecte en chef du DNS chez Infoblox. « Malheureusement, cette enquête confirme que, près de deux ans après l’énorme attaque DDoS contre Dyn, une leçon dramatique sur les effets des attaques sur l’infrastructure DNS, la plupart des entreprises négligent encore la sécurité du DNS. »
Notre approche de la cybersécurité nécessite un changement fondamental : si nous ne commençons pas à accorder à la sécurité DNS l’attention qu’elle mérite, le DNS restera l’un des systèmes Internet les plus vulnérables et nous continuerons à voir des événements similaires. Rappelons-nous qu’un DNS qui tombe impacte potentiellement tous les services clés de l’entreprise : sites web, messageries (email et instantanée), applications mobiles, VOIP, intranet, extranet…
Nameshield vous accompagne sur la sécurisation des DNS, n’hésitez pas à contacter nos experts pour entamer une discussion sur ce sujet clé.
* Dimensional research est une société de consulting américaine qui fournit des études de marché, notamment sur la cybersécurité.
Pendant plusieurs mois, les tribunaux français ont reçu des milliers d’e-mails provenant de cybercriminels, se faisant passer pour des avocats, afin de récupérer des décisions de justice.
Grâce à la fameuse pratique du typosquatting. Cette arnaque se base sur les éventuelles fautes de frappe ou erreur orthographique, qu’un internaute pourrait faire lors de la saisie du nom de domaine. Par exemple : inverser les lettres, doubler certaines lettres, mettre un zéro (0) à la place de la lettre O… Le pirate va chercher à acheter un nom de domaine proche du nom de domaine officiel, qu’il souhaite cybersquatter, pour tromper l’internaute, dans le but de récupérer des données telles que des numéros de carte bancaire, des adresses e-mails, des mots de passe …
Dans notre cas du jour, les e-mails frauduleux provenaient du site avocatlime.fr et non du nom de domaine officiel, avocatline.fr (messagerie la plus importante en France pour les professions juridiques). L’internaute peu vigilant lors de la lecture de l’adresse e-mail de l’expéditeur ne se rendra pas compte de cette supercherie.
Cette pratique encore trop courante peut être facilement détectée grâce à des surveillances de nouveaux dépôts de noms de domaine, qui permettront d’agir rapidement et donc de faire des déclarations de phishing afin de protéger les internautes.
Un des rôles des sociétés, qui font l’objet d’attaques sur le web, est de protéger leurs salariés, leurs clients ou les internautes, dans notre ère digitale. Le chemin est encore long avant d’avoir un internet sécurisé. Nous devons tous redoubler de vigilance.
En forte augmentation, les attaques de phishing, slamming et autres e-mails frauduleux reposent sur des techniques d’« ingénierie sociale », consistant à exploiter non pas une faille informatique, mais la « faille humaine », en dupant les internautes par le biais d’un e-mail semblant provenir d’une entreprise de confiance.
Les périodes de vacances estivales correspondent à l’envoi en masse de ces e-mails frauduleux. En effet, les cybercriminels tentent de profiter d’une vigilance qui peut être particulièrement relâchée pendant ces périodes.
Voici une infographie vous expliquant quelles sont ces attaques et comment s’en protéger grâce à des règles simples de vigilance et de prudence.
« Dès lors qu’un site peut traiter des données personnelles, simplement avec la création d’un compte utilisateur, la conformité au RGPD requiert a minima que le site soit protégé par un protocole HTTPS. Ce protocole est une protection a minima que tout gestionnaire de site internet ne peut plus se permettre de ne pas avoir. »
Le règlement européen de protection des données (RGPD) exige donc que les données personnelles soient traitées « de façon à garantir une sécurité appropriée ».
Entré en vigueur le 25 mai dernier, son impact sur la gestion de votre portefeuille de certificats SSL n’est pas neutre.
Les Autorités de Certification, quelles qu’elles soient, se sont toujours appuyées sur le WHOIS du nom de domaine à certifier pour valider que le demandeur d’un certificat dispose de l’accord de l’exploitant technique du nom de domaine qu’il veut sécuriser.
Pour cela, une des étapes d’authentification prévoyait qu’un mail soit envoyé sur l’une des adresses mails (admin ou technique) présente sur le WHOIS afin de valider la commande.
Mais le RGPD est passé par là et les bureaux d’enregistrement n’ont plus le droit de fournir les données personnelles des propriétaires de nom de domaine sans leur consentement explicite, ce qui rend la base de données WHOIS inexploitable par les Autorités de Certification pour envoyer leur mail de validation.
Face à cette situation, les Autorités de Certification proposent d’envoyer par défaut ce mail de validation à l’une des adresses génériques suivantes :
admin@domaine.com
administrator@domaine.com
postmaster@domaine.com
webmaster@domaine.com
hostmaster@domaine.com
Les Autorités de Certification offrent la possibilité de valider que vous avez bien l’accord de l’exploitant technique du nom de domaine, par le biais d’une vérification d’un record TXT dans la zone de DNS du nom de domaine à certifier.
En constatant la présence de ce record TXT, l’Autorité de Certification pourra :
Quoiqu’il en soit, le RGPD change la donne et impacte significativement l’industrie du SSL puisque la solution idéale pour obtenir un certificat rapidement passera soit par la création d’une des 5 adresses mail précitées, soit, si cette option était trop compliquée, par la mise en place de record TXT (qui impliquerait une augmentation des délais d’obtention).
En qualité de Registrar, Nameshield propose un avantage unique sur le marché pour ses clients SSL.
Une pré-authentification de chaque commande permet en effet d’agir en amont de l’Autorité de Certification afin d’anticiper tout blocage et, le cas échéant, d’agir dans les meilleurs délais :
N’hésitez pas à faire appel à notre service SSL dédié si vous avez la moindre question sur le sujet.
En juillet 2018, avec l’arrivée de Chrome 68, les sites en HTTP seront considérés comme « Non Sécurisé », ceux en HTTPS seront marqués « Sécurisé » dans la barre d’adresse.
Et depuis le 25 mai 2018, le RGPD est entré en vigueur et les sites qui récoltent des données personnelles devront disposer du HTTPS.
De plus, certains nouveaux gestionnaires de noms de domaine imposent également le HTTPS pour pouvoir utiliser le nom de domaine (.app / .dev…).
Passer au HTTPS par défaut sur l’ensemble de vos sites Web va devenir indispensable, en faisant l’acquisition de certificat(s) SSL, avec les avantages suivants :
Confidentialité des échanges, authentification forte et intégrité des communications entre les internautes et vos sites web, jouant sur le niveau de confiance des internautes envers vos sites web et plus généralement votre image de marque liée à la sécurité en ligne.
Mais comment choisir le certificat qui répond à vos besoins ? Ci-dessous notre guide pour vous aider dans votre choix :
Notre équipe d’experts SSL vous accompagne dans la formation de vos équipes, organise régulièrement des réunions d’information au sein de ses locaux pour vous permettre d’échanger avec d’autres acteurs du marché, met à votre disposition les outils nécessaires à la prise de décision (audit, analyse, conseil) et vous accompagne au quotidien sur tous ces sujets.
A noter : Le 21 juin prochain à Paris, un petit-déjeuner sera organisé autour de ce thème.
Pour plus d’informations et pour vous y inscrire ☛ Invitation au nameshield.cafe.
![[INFOGRAPHIE] Protégez vos accès ! Le premier maillon de la sécurité de vos noms de domaine](https://blog.nameshield.com/fr/wp-content/uploads/sites/3/2018/10/infographie-plateforme-sécurisée-OK-1200x1058.jpg)
![[INFOGRAPHIE] Phishing, slamming, e-mails frauduleux : Soyez vigilants pendant les périodes de vacances !](https://blog.nameshield.com/fr/wp-content/uploads/sites/3/2018/07/infographie-phishing-slamming-reseaux-sociaux-1200x994.jpg)
![[INFOGRAPHIE] Passer son site web en HTTPS : Pourquoi ? Et quel certificat SSL choisir ?](https://blog.nameshield.com/fr/wp-content/uploads/sites/3/2018/06/Infographie-SSL-Reseaux-Sociaux-partie-1-redimensionné-Copie-1200x774.jpg)
