Les 3 attaques DNS les plus communes et comment les combattre

Cyberattaque - Attaques DNS

En octobre 2016 de nombreux sites Web populaires tels qu’Amazon, Twitter, Netflix et Spotify sont devenus inaccessibles à des millions d’internautes aux Etats-Unis pendant près de 10 heures, autant dire une éternité. En cause, une des plus grosses attaques de l’histoire d’Internet sur les services DNS de Dyn, un acteur majeur dans ce secteur d’activité.

D’autres sociétés telles que Google, The New York Times et de nombreuses banques ont également été victimes de différentes variétés d’attaques ciblant le DNS ces dernières années et, si dans beaucoup de sociétés le DNS reste un grand oublié, les choses sont en train d’évoluer vers une prise de conscience forcée par ces nombreuses attaques.

Mais au fait, quelles sont ces attaques ?

Attack #1: DNS Cache Poisoning and Spoofing

La finalité de l’empoisonnement DNS est d’acheminer les utilisateurs vers un site Web frauduleux. Par exemple, un utilisateur tape « gmail.com » dans un navigateur Web avec pour objectif d’aller consulter sa boîte email. Le DNS ayant été empoisonné, ce n’est pas la page gmail.com qui s’affiche mais une page frauduleuse choisie par l’attaquant, dans le but par exemple de récupérer les accès aux boîtes emails. Les utilisateurs saisissant le nom de domaine correct, ils ne se rendent pas compte que le site Web qu’ils visitent est un faux, une escroquerie.

Cela crée une opportunité parfaite pour les attaquants d’utiliser des techniques de phishing pour soutirer de l’information, qu’il s’agisse des informations d’identification ou des informations de carte de crédit, auprès de victimes peu méfiantes. L’attaque peut être dévastatrice, en fonction de plusieurs facteurs, selon l’intention de l’attaquant et la portée de l’empoisonnement DNS.

Comment les pirates mènent-ils cette attaque ? En exploitant le système de mise en cache DNS.

La mise en cache DNS est utilisée dans tout le Web pour accélérer les temps de chargement et réduire les charges sur les serveurs DNS. La mise en cache de document Web (ex : page web, images) est utilisée afin de réduire la consommation de bande passante, la charge du serveur web (les tâches qu’il effectue), ou améliorer la rapidité de consultation lors de l’utilisation d’un navigateur. Un cache Web conserve des copies de documents transitant par son biais. Une fois qu’un système interroge un serveur DNS et reçoit une réponse, il enregistre les informations dans un cache local pour une référence plus rapide, sur un laps de temps donné, sans avoir à aller rechercher l’information. Le cache peut donc répondre aux requêtes ultérieures à partir de ses copies, sans recourir au serveur Web d’origine.

Cette approche est utilisée à travers le Web de manière routinière et en chaîne. Les enregistrements d’un serveur DNS servent à mettre en cache des enregistrements sur un autre serveur DNS. Ce serveur sert à mettre en cache les enregistrements DNS sur les systèmes de réseau tels que les routeurs. Ces enregistrements sont utilisés pour créer des caches sur des machines locales.

L’empoisonnement DNS survient lorsque l’un de ces caches est compromis.

Par exemple, si le cache sur un routeur réseau est compromis, alors quiconque l’utilise peut être mal orienté vers un site Web frauduleux. Les faux enregistrements de DNS se ramifient vers les caches DNS sur la machine de chaque utilisateur.

Cette attaque peut également viser des maillons hauts de la chaîne. Par exemple, un serveur DNS majeur peut être compromis. Cela peut endommager les caches des serveurs DNS gérés par les fournisseurs de services Internet. Le « poison » peut se répercuter sur les systèmes et les périphériques de réseautage de leurs clients, ce qui permet d’acheminer des millions de personnes vers des sites Web frauduleux.

Cela vous semble fou ? En 2010, de nombreux internautes américains ne pouvaient plus accéder à des sites comme Facebook et YouTube, car un serveur DNS d’un fournisseur d’accès Internet de haut niveau avait accidentellement récupéré les enregistrements du Grand Pare-feu Chinois [le gouvernement chinois bloquait les accès à ces sites].

L’antidote à ce poison

L’empoisonnement du cache DNS est très difficile à détecter. Il peut durer jusqu’à ce que le TTL (Time To Live – durée de validité d’une requête mise en cache) expire sur les données en cache ou qu’un administrateur le réalise et résolve le problème. En fonction de la durée du TTL, les serveurs peuvent prendre des jours pour résoudre le problème de leur propre chef.

Les meilleures méthodes pour empêcher une attaque par empoisonnement du cache DNS incluent la mise à jour régulière du programme, la réduction des temps TTL et la suppression régulière des caches DNS des machines locales et des systèmes réseau.

Pour les registres qui le permettent la mise en place de DNSSEC est la meilleure réponse afin de signer les zones des noms de domaine sur l’ensemble de la chaine et rendre impossible une attaque par empoisonnement du cache.

 

Attack #2: Attaque par amplification DNS (de type DDoS)

Les attaques par amplification DNS ne sont pas des menaces contre les systèmes DNS. Au lieu de cela, elles exploitent la nature ouverte des services DNS pour renforcer la force des attaques de déni de service distribuées (DDoS). Ces attaques ne sont pas les moins connues, ciblant par exemple des sites bien à forte notoriété tels que BBC, Microsoft, Sony…

Accrocher et amplifier

Les attaques DDoS se produisent généralement à l’aide d’un botnet. L’attaquant utilise un réseau d’ordinateurs infectés par des logiciels malveillants pour envoyer de grandes quantités de trafic vers une cible, comme un serveur. Le but est de surcharger la cible et de ralentir ou de l’écraser.

Les attaques par amplification ajoutent plus de puissance. Plutôt que d’envoyer le trafic directement d’un botnet à une victime, le botnet envoie des demandes à d’autres systèmes. Ces systèmes répondent en envoyant des volumes de trafic encore plus importants à la victime.

Les attaques par amplification DNS en sont un exemple parfait. Les attaquants utilisent un botnet pour envoyer des milliers de demandes de recherche pour ouvrir des serveurs DNS. Les demandes ont une adresse source falsifiée et sont configurées pour maximiser la quantité de données renvoyées par chaque serveur DNS.

Le résultat: un attaquant envoie des quantités relativement restreintes de trafic à partir d’un botnet et génère des volumes de trafic proportionnellement supérieurs ou « amplifiés » des serveurs DNS. Le trafic amplifié est dirigé vers une victime, ce qui provoque une panne du système.

Détecter et se défendre

Certains pare-feu peuvent être configurés pour reconnaître et arrêter les attaques DDoS au fur et à mesure qu’elles se produisent en supprimant des paquets artificiels essayant d’inonder les systèmes sur le réseau.

Une autre façon de lutter contre les attaques DDoS consiste à héberger votre architecture sur plusieurs serveurs. De cette façon, si un serveur devient surchargé, un autre serveur sera toujours disponible. Si l’attaque est faible, les adresses IP d’envoi du trafic peuvent être bloquées. En outre, une augmentation de la bande passante du serveur peut lui permettre d’absorber une attaque.

De nombreuses solutions dédiées existent également conçues exclusivement pour lutter contre les attaques DDoS.

 

Attack #3: Attaque DDoS sur le DNS

Les attaques DDoS peuvent être utilisées contre de nombreux types de systèmes. Cela inclut les serveurs DNS. Une attaque DDoS réussie contre un serveur DNS peut provoquer une panne, ce qui rend les utilisateurs incapables de naviguer sur le Web (note: les utilisateurs seront susceptibles de continuer à atteindre les sites Web qu’ils ont visités récemment, en supposant que l’enregistrement DNS soit enregistré dans un cache local).

C’est ce qui est arrivé aux services DNS de Dyn, comme décrit en début d’article. L’attaque DDoS a surchargé les infrastructures DNS, ce qui a empêché des millions de personnes d’accéder aux principaux sites Web dont les noms de domaine étaient hébergés dessus.

Comment se défendre contre ces attaques ? Tout dépend de la configuration de vos DNS.

Par exemple, hébergez-vous un serveur DNS? Dans ce cas, il existe des mesures que vous pouvez prendre pour le protéger, en mettant à jour les derniers patchs et en autorisant uniquement les ordinateurs locaux à y accéder.

Peut-être essayez-vous d’atteindre le serveur DNS attaqué ? Dans ce cas, vous aurez probablement du mal à vous connecter. C’est pourquoi il est judicieux de configurer vos systèmes pour compter sur plus d’un serveur DNS. De cette façon, si le serveur principal venait à ne plus répondre, un serveur de repli sera lui disponible.

Prévoir et atténuer les attaques

Les attaques du serveur DNS constituent un risque majeur pour la sécurité du réseau et doivent être prises au sérieux. Les entreprises, hébergeurs et fournisseurs d’accès doivent mettre en place des mesures de sauvegarde afin de prévenir et de réduire les effets d’une telle attaque lorsqu’ils en sont victimes.

À la suite de ces attaques, l’ICANN a souligné plus fortement que jamais la nécessité d’utiliser le protocole DNSSEC pour signer chaque requête DNS avec une signature certifiée, en garantissant ainsi l’authenticité. L’inconvénient de cette technologie est le fait qu’il doit être mis en œuvre à tous les stades du protocole DNS pour fonctionner correctement – ce qui arrive lentement mais sûrement.

Optez pour des infrastructures hébergées et maintenues par des spécialistes du DNS, et assurez-vous que le réseau soit anycasté (points de présences multiples et répartis sur l’ensemble de la planète, ou au moins sur vos zones d’influence) et bénéficie de filtrage anti-DDoS, et vous propose des solutions de sécurité supplémentaires telles que DNSSEC mais aussi failover pour intégrer le DNS dans vos PCA et PRA.

Nameshield dispose de sa propre infrastructure DNS Premium pour répondre aux besoins de ses clients. Cette infrastructure répond notamment (voire dépasse) à tous les pré-requis ANSSI. La solution DNS Premium est intégrée dans le scope de notre certification ISO 27001.

N’hésitez pas à nous contacter pour toutes questions relatives aux cyberattaques.

.BRAND : 4 épisodes, de quoi tenir tout l’été

. brand : 4 épisodes, de quoi tenir tout l’été
Photo : CC BY-SA 3.0 Nick Youngson – source : http://nyphotographic.com/

Acte 4 : la reconstruction

Alors qu’une myriade de nouvelles extensions étaient ouvertes à l’enregistrement, l’heure était au choix des enregistrements .COM, .CM, .OM, .CO ou .CAM ? .FR ou .FRL ?

La décision de déposer ses marques dans toutes les nouvelles extensions a bien sûr un coût élevé et n’est qui plus est pas nécessairement judicieux.

C’est aussi pourquoi certaines marques ont choisi un .BRAND : son propre TLD, sa propre souveraineté, ses propres règles de gestion ! De nombreuses marques ont opté pour cette configuration et l’on peut aujourd’hui voir fleurir du .BNPPARIBAS, .ALSTOM, .SNCF, .LECLERC, .GOOGLE,…

Cette réflexion vis-à-vis des .BRAND a parfois été mal menée : certaines marques ont aujourd’hui abandonné leurs propres TLD, comme McDonald’s. L’ICANN tient d’ailleurs une liste de ces TLD, accompagnée des lettres très formelles des entreprises demandant à supprimer la zone de confiance, historiquement si coûteuse. Cela me rappelle The Fallen Astronaut. On pourra dire que l’abandon de ces TLDs servira aux autres à se construire. Un bon général utilise la force de l’ennemi comme disait Sun Tzu !

Ces abandons montrent que les entreprises concernées n’ont pas vu aujourd’hui les bénéfices qu’elles pouvaient en tirer au regard des coûts associés à la création et à la gestion d’un .BRAND. D’autres, plus audacieuses, en ont découvert l’intérêt et/ou imaginent découvrir des opportunités de service nouvelles leur permettant d’avoir un contrôle accru sinon total sur leurs infrastructures à venir à forts enjeux, de type Internet des Objets, Industrie 4.0,…

Attendons les premiers objets connectés et le déploiement d’une réelle infrastructure autour d’un .BRAND résilient et nous verrons !

Lire l’acte 1 : Le déni (et la colère)

Lire l’acte 2 : L’expression

Lire l’acte 3 : La dépression

Les dépôts de marques et les noms de chevaux : une étonnante ressemblance

Les dépôts de marques et les noms de chevaux : une étonnante ressemblance

Les marques identifient un produit ou service particulier et permettent aux consommateurs d’identifier rapidement la source d’un bien donné. Pour remplir cette fonction, elles doivent être distinctives.

Le droit des marques protège le titulaire d’une marque en lui permettant une utilisation exclusive et en empêchant les autres d’utiliser une marque similaire qui prêterait à confusion. L’utilisation d’une marque identique pour un même produit entraînerait une confusion dans l’esprit du consommateur et constituerait alors une atteinte.

Savez-vous que des règles similaires existent pour nommer des chevaux de race ?

WorldFengur est le comité Islandais en charge de l’enregistrement officiel des chevaux de race islandaise. Il a récemment établi une règle stipulant que les noms doivent être d’origine islandaise pour être inclus dans la base de données officielle. Il y a plus de 400 000 chevaux enregistrés en Europe et aux Etats Unis. Le comité de nommage des chevaux, composé de deux personnes, a été mis en place pour empêcher les personnes de donner des noms indécents à leurs chevaux et s’assurer principalement que les noms respectent la tradition islandaise et les règles de grammaire, les acheteurs ne souhaitant pas que leurs chevaux islandais portent des noms étrangers.

D’autres pays ont également des règles de nommage pour les chevaux. La British Horseracing Authority (BHA – Autorité de régulation britannique des courses hippiques) contrôle la convenance des noms lorsque les chevaux sont ajoutés dans leur base de données. Outre la disponibilité – comme pour les dépôts de marques – il y a une longue liste de critères que les candidats se doivent de respecter.

Voici quelques restrictions sur la disponibilité du nom :

  • Les noms de plus de 18 caractères, incluant les signes et les espaces
  • Les noms suivis par un ou plusieurs numéros ou qui commencent avec un signe autre qu’une lettre
  • Les noms entièrement composés d’initiales, ou qui incluent des chiffres, tirets, points, virgules, signes, points d’exclamation, guillemets, slashs, deux points, points virgules
  • Les noms de personnes publiques ou les noms à caractère commercial sans une autorisation appropriée
  • Les noms considérés de mauvais goûts ou offensants.

De plus, lorsque vous déposez le nom de votre cheval auprès de la BHA pour validation, vous avez besoin de fournir deux propositions de nom dans l’ordre de préférence, en donnant l’origine ou la signification. Tout cela semble familier – par exemple, la demande d’autorisation de mise sur le marché d’un médicament.

Une différence amusante est l’existence d’un moteur de recherche de disponibilité de nom de cheval qui non seulement nous informe si le nom est gratuit mais fournit également quelques bonnes alternatives.

 

Les dépôts de marques et les noms de chevaux : une étonnante ressemblance - Moteur de recherche
Site Internet de la British Horseracing Authority

Attention au bad buzz en menant une action de récupération : l’histoire de Glencoe

Attention au badbuzz en menant une action de récupération : l’histoire de Glencoe

Glencoe est un « lieu inoubliable aux montagnes spectaculaires, d’une rare beauté et à l’histoire hantée», situé dans les Highlands écossais.

Il s’agit également d’une marque déposée au Royaume-Uni, enregistrée par plusieurs entreprises et notamment le National Trust for Scotland qui la dépose en 2016 pour des services tels que les produits cosmétiques, de joaillerie et de prêt-à-porter.

En 1996, cette même marque a été déposée par Glenmuir Limited,  une « entreprise anglaise familiale dédiée à la production de vêtements de golf de haute qualité », mais qui n’est actuellement utilisée sur aucun article de leur ligne de vêtements.

Ce nom a été utilisé aussi par Hilltrek Outdoor Clothing pour une de leurs vestes faites main.

Attention au badbuzz en menant une action de récupération : l’histoire de Glencoe - Hilltrek   Attention au badbuzz en menant une action de récupération : l’histoire de Glencoe - Hilltrek

L’entreprise localisée à Aboyne, à la limite des Highlands, possède 30 ans d’histoire en fabrication de vêtements d’extérieur de qualité et pratique une politique de noms pour leurs vestes qui fait référence à certains de leurs lieux favoris en Ecosse. Sur le site Internet, un glossaire est disponible pour fournir des informations sur les noms et les lieux utilisés pour leurs vêtements.

Au début du mois d’août, le propriétaire d’Hilltrek, Monsieur Shand, a reçu une lettre de mise en demeure, de la part du National Trust for Scotland, demandant l’arrêt de la vente des vestes Glencoe. Monsieur Shand a été surpris d’apprendre que le nom d’un lieu puisse être enregistré en tant que marque. Le site web d’Hilltrek respecte les droits des marques en affichant le symbole ® accolé à plusieurs marques, ce qui n’est pas le cas pour la marque Glencoe.

La lettre exige d’Hilltrek d’arrêter immédiatement la vente de tout produit portant le nom Glencoe et de s’abstenir d’utiliser ce nom pour de futurs produits. Monsieur Shand publie alors sur les réseaux sociaux cette lettre qu’il trouve « intimidante et menaçante », déclarant qu’il aurait compris et préféré une lettre polie expliquant la situation et ouverte au dialogue.

Ce cas a soulevé plusieurs points intéressants à prendre en considération.

Est-il correct d’enregistrer un nom de lieu pour ainsi bloquer son utilisation par un tiers ? Dans son cas, le National Trust for Scotland affirme que son but est de se protéger, et d’empêcher l’exploitation du nom. Il encourage et soutient les entreprises locales, il a contacté plusieurs entreprises qui ne sont pas locales et qui ont utilisé ces noms de marques déposées, dont des entreprises localisées en France.

Dans certains cas comme celui-ci, il est important de faire preuve de tact, lorsque vous défendez vos droits de Propriété Intellectuelle. Réagir de manière brutale peut engendrer un « bad buzz », avec une opinion négative des médias pour le plaignant et une excellente publicité pour celui qui a violé les droits de marques.

Cet exemple souligne la nécessité d’obtenir un avis professionnel d’un conseiller expérimenté en matière de Propriété Intellectuelle, que vous défendiez une marque déposée ou que vous en utilisiez une, même si vous n’en avez pas encore conscience.

 

.BRAND : de l’importance de la stratégie digitale, ou le cas de McDonald’s

McDonald’s ! Le symbole de la mondialisation : de l’invention du service express par les frères éponymes à sa franchisation réussie par Ray Kroc (je vous conseille d’ailleurs le film The Funder), McDonald’s est un exemple de réussite entrepreneuriale d’après-guerre. Le BigMac, le Filet o’Fish ? Ce sont des inventions de franchisés que le siège a accepté de développer dans le monde entier. Un modèle d’innovation.

Qu’en est-il de leur stratégie numérique ? Lorsque Internet arrive et que tout le monde en parle, un journaliste de Wired contacte McDonald’s pour leur expliquer que Burger King pourrait enregistrer mcdonalds.com. McDonald’s ne l’enregistrera pas pour autant. Le journaliste le fera et la firme US, après avoir tenté de le récupérer, finira par donner 3500 USD à une école sous la forme d’équipement informatique.

Chat échaudé craint l’eau froide. McDonald’s s’impose à compter de cet événement une politique préventive d’enregistrement de noms de domaine, soit une stratégie de nommage : goldenarches.com, mcd.com, bigmac.com,… Si RayKroc.com et mcdo.com sont déjà cybersquattés, la mise en œuvre de règles de dépôts défensifs est en marche.

Ainsi, lorsque le programme des new gTLD est lancé en 2012, McDonald’s est candidat et remporte le .MCD et le .MCDONALDS (MCD est utilisé en interne pour la messagerie électronique).

 

.brand - cas McDonald's
Illustration 1: Page d’accueil de NIC.MCD

 

On remarquera le faible développement sur la page d’accueil du .MCD, cette dernière se limitant aux obligations de l’ICANN quant à la présentation du TLD.

 

.brand, cas de McDonald's - Service WHOIS du .MCDONALDS
Illustration 2: Service WHOIS du .MCDONALDS

 

Le service Whois du .MCDONALDS permet ainsi l’identification du titulaire, même si, tel qu’il a été présenté dans le dossier pour l’ICANN, le .MCDONALDS n’a pas vocation à être une extension ouverte.

Il est intéressant de constater à la lecture du Whois, l’application d’une gestion conjointe des départements marketing et propriété intellectuelle :

  • Premier contact : Division IP, Eric William Gallender, ‘Senior Intellectual Property Counsel’
  • Deuxième contact : Division marketing, Anja Morrison Carroll, ‘Senior Director, Marketing’

Dans les motivations de l’entreprise à bénéficier d’un .MCD et un .MCDONALDS issues d’un document public, on retrouvera la volonté à recréer de la confiance. McDonald’s met en avant ses dépôts en gTLD, ccTLD et dépôts préventifs (.XXX entre autres).

Enfin, les engagements avancés par McDonald’s sont nombreux :

  • Apporter une référence simple et intuitive et un point d’accès aux internautes ;
  • Représenter une authenticité et ainsi promouvoir la confiance des utilisateurs ;
  • Diriger les internautes vers des informations et des produits pertinents localement ;
  • Utiliser les noms géographiques appropriés pour se connecter avec les internautes dans les régions pertinentes ;
  • Utiliser potentiellement des IDNs pour que les clients puissent interagir dans leur langue maternelle ;
  • Accroître la sécurité et minimiser les risques de sécurité en mettant en place les nécessaires mesures techniques et politiques ;
  • Renforcer la réputation de la marque et la confiance de l’utilisateur en éliminant la confusion de l’utilisateur ;
  • Empêcher des potentiels abus dans la procédure d’enregistrement, réduisant le coût global pour les entreprises et les utilisateurs.

Pourtant, le 2 mai 2017, une lettre signée du VP Global Brand Marketing, Colin Mitchell, annonce un retour en arrière : c’est la fin pour les deux TLDs.

Aucune raison n’est évoquée pour justifier ce retrait et le service juridique de McDonald’s n’a pas répondu aux demandes de communication.

 

.brand - Lettre de McDonald's
Illustration 3: Lettre de McDonald’s

 

McDonald’s n’a pas su faire de ces deux TLDs plus qu’un espace de confiance pour les sites Internet : un .BRAND, oui, mais il est nécessaire d’avoir une réelle stratégie de déploiement et d’utilisation.

Créer un .BRAND avec pour seul objectif la défense de la propriété intellectuelle ne semble, sous cet éclairage, pas être une tactique payante. Le succès d’un .BRAND est avant tout conditionné par une véritable stratégie, et son développement nécessite d’anticiper, bien en amont, l’usage qui va en être fait, tout comme ses implications en termes de communication digitale et commerciale.

Un premier rapport très attendu sur les malwares dans les nouvelles extensions

Un premier rapport très attendu sur les malwares dans les nouvelles extensions

Alors que le sort de 25 nouvelles extensions non encore déléguées reste à sceller, soit environ 2% de l’ensemble des extensions retenues lors du round d’ouverture actuel, l’ICANN vient de publier une étude sur la proportion de domaines malveillants dans les nouvelles extensions lancées après 2012.

L’étude a été demandée par la Competition Consumer Trust and Consumer Choice Review Team (CCTRT), arcane de l’ICANN dont le rôle est de faire des recommandations sur l’impact des nouvelles extensions sur la concurrence, le choix et la confiance des utilisateurs. En définissant les paramètres de l’étude, le CCTRT a cherché à mesurer les taux des formes communes d’activités abusives dans le système de noms de domaine, comme le spam, le phishing et la distribution de logiciels malveillants.

Pour rappel le phishing ou hameçonnage est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité.

Quelles sont les bases de cette étude ?

L’étude a été conduite par SIDN, le registre de l’extension des Pays-Bas ainsi que l’Université de Technologie de Delft également située aux Pays-Bas. Elle a été réalisée sur une période allant de 2014 à 2016 grâce à un accès aux fichiers de zone consenti par l’ICANN à ces deux entités.

Elle a porté sur l’analyse de plus de 40 millions de noms dont 24 millions de noms enregistrés dans les nouvelles extensions et 16 millions dans les extensions génériques historiques : .com, .net, .org, .biz et .info. Pour les nouvelles extensions, elle a visé les extensions qui ont proposé une phase d’enregistrement Sunrise pour les détenteurs de marques. Cette étude a donc in fine concernée peu de registres de .BRAND dans la mesure où ces derniers n’ont pas besoin de faire de période Sunrise.

Les deux entités ont fait leurs propres mesures pour détecter des usages malveillants et les données ont été recoupées avec onze listes hétérogènes référençant des domaines et URLs identifiés comme malveillants qui ont été fournis par cinq organisations spécialisées.

Quels sont les enseignements de cette étude ?

En ce qui concerne le phishing et les logiciels malveillants, l’étude montre une convergence des proportions observées entre les nouvelles extensions et celles des extensions génériques historiques. Sur les extensions génériques historiques toutefois les taux tendent à rester stables alors que ceux des nouvelles extensions augmentent.

Une forte disparité apparaît en revanche sur le spamming. A fin 2016, les proportions de domaines concernés sont près de dix fois plus élevées sur les nouvelles extensions génériques : 526 sur 10000 noms contre 56 sur 10000 noms. Les tendances montrent par ailleurs un report des cybercriminels vers les nouvelles extensions.

L’analyse montre que près de la moitié des dépôts identifiés dans des activités de spamming sur les trois nouvelles extensions les plus concernées proviennent de cybercriminels connus et d’utilisateurs blacklistés par Spamhaus. Spamhaus est une organisation internationale non gouvernementale dont l’objet est de traquer les spameurs.

Ces phénomènes ne concernent toutefois pas toutes les nouvelles extensions puisque 36% n’ont pas connu d’usage malveillant lors du dernier trimestre de 2016.

L’étude montre également que les registres qui se concurrencent en tirant leurs prix vers le bas dans l’optique de faire du volume, sont ceux qui sont les plus prisés par les cybercriminels. Outre des prix d’enregistrement de domaine compétitifs, des pratiques d’enregistrement non restrictives, une variété d’autres options d’enregistrement comme la multitude des méthodes de paiement disponibles, des services gratuits comme le DNS ou les services de masques WHOIS sont autant d’autres facteurs recherchés par les cybercriminels.

Quel est l’impact du DNSSEC sur les pratiques malveillantes ?

Alors que le protocole sécurisé DNSSEC est en plein essor, les entités mandatées par l’ICANN pour ce rapport ont également analysé comment les propriétés structurelles et la sécurité des opérateurs de nouvelles extensions influencent les usages malveillants de domaines. Comme attendu, le DNSSEC joue un rôle statistiquement significatif et incite à déployer plus largement le protocole, sur d’autres extensions. Les extensions supportant DNSSEC sont en effet moins la cible de tels agissements.

Et après ?

L’étude va être ouverte à commentaires jusqu’au 19 septembre prochain. Les entités qui l’ont conduites entendent aussi analyser plus en détails les éventuelles corrélations entre les règles d’enregistrement et les pratiques malveillantes.

Le CCTRT va ensuite émettre des recommandations auprès de l’ICANN pour endiguer les pratiques malveillantes que l’ICANN peut ensuite transformer en autant de nouvelles obligations pour les opérateurs de registre de nouvelles extensions. Cette fois en revanche tous les registres risquent d’être concernés, .BRAND donc y compris. NAMESHIELD va suivre ce sujet de près.

 

 

Du mouvement dans le monde du SSL : Digicert rachète l’activité certificats de Symantec

Digicert rachète l’activité certificats de Symantec

Digicert a annoncé, mercredi 2 août, le rachat de la branche Website Security Business de Symantec (incluant notamment le business SSL, et quelques autres services). C’est la conséquence directe du conflit qui oppose depuis quelques mois Symantec à Google.

 

Compte Twitter de DigiCert - Digicert rachète l’activité certificats de Symantec
Compte Twitter de DigiCert

 

Vous avez certainement entendu parler de ce différend qui oppose les deux sociétés sur un certain nombre de certificats émis par Symantec et la possible perte de confiance envers ces certificats dans les prochaines versions de Chrome. Beaucoup d’informations et de dates ont circulé sur le sujet, parfois contradictoires, et il peut être délicat d’évaluer l’impact sur vos propres certificats.

Nameshield, en tant que partenaire Platinum de Symantec, a suivi de très près le développement de cette affaire pour s’assurer que ses clients et partenaires ne risquent pas d’être impactés et de subir une perte de confiance au sein des navigateurs. Les tout derniers développements de cette affaire nous amènent à communiquer les informations importantes qui suivent.

Que s’est-il passé ?

Google et Symantec ont eu un premier différend en 2015, les équipes de Symantec prenant alors pour exemple, lors de sessions de formation de leurs employés, des certificats souvent basés sur le CN google.com, en les émettant réellement pour ensuite les supprimer. C’était objectivement une erreur et Google a sanctionné Symantec en rendant obligatoire l’inscription de l’ensemble des certificats au sein de la base Certificate Transparency, ce qui depuis est devenu un standard du marché et une obligation pour toutes les Autorités de Certification. Cette décision était effective au 1er Juin 2016.

Au début de l’année 2017 Google et Mozilla ont fait part de la découverte de 127 certificats Symantec comportant des irrégularités, amenant une enquête approfondie de la part de Google qui aurait trouvé près de 30 000 certificats impactés. Google a décidé de sanctionner fortement Symantec en réduisant à 9 mois la durée des certificats et en voulant supprimer le statut EV pour les certificats Symantec dans un délai très court. Symantec a pour sa part réagi immédiatement en sanctionnant 4 partenaires à l’origine des erreurs. De nombreuses discussions entre ces deux groupes, et avec de nombreux acteurs importants de l’industrie, ont eu lieu depuis le mois de Mars 2017. Une partie de ces publications, propositions et contre-propositions ont semé la confusion.

Ces différentes discussions ont donc amené Google et Symantec à un accord sur une méthode et un calendrier de transition vers une nouvelle infrastructure PKI pour Symantec. Google a communiqué officiellement vendredi 28 juillet sur le sujet. Cette communication peut être consultée ici.

Symantec s’engage à créer une nouvelle infrastructure PKI en collaboration avec un tiers pour prouver sa bonne foi, répondre aux exigences de transparence de Google et maintenir le haut degré de confiance dont le groupe a toujours bénéficié de la part des internautes. Ce changement d’infrastructure va intervenir au 1er décembre 2017 et nécessitera le remplacement (ou le renouvellement le cas échéant) de l’ensemble des certificats existants pour les marques Symantec, Thawte, Geotrust et RapidSSL. Ce délai allongé permettra une transition en douceur, sans impact sur les internautes.

Depuis le 2 août, nous savons que ce tiers de confiance sera donc Digicert.


Quel calendrier ?

Google distingue les certificats Symantec émis avant le 1er Juin 2016 de ceux émis après cette date (inscription obligatoire dans Certificate Transparency). La perte de confiance dans ces deux catégories de certificats arrivera au travers de deux versions différentes de Chrome d’où le calendrier suivant :

– Catégorie 1 : les certificats émis avant le 1er juin 2016 devront être remplacés (ou renouvelés *) entre le 1er décembre 2017 et le 15 mars 2018 (arrivée de la beta Chrome 66).

– Catégorie 2 : les certificats émis  entre le 1er juin 2016  et le 30 novembre 2017 devront être remplacés (ou renouvelés *) entre le 1er décembre 2017 et le 13 septembre 2018 (arrivée de la beta Chrome 70).

L’urgence éventuelle communiquée par différents acteurs du marché n’a donc pas lieu d’être.

 

* Renouvellement anticipé : un renouvellement peut être effectué jusqu’à 90 jours avant la date d’expiration d’un certificat, sans pénaliser la durée du nouveau certificat délivré.

 

Êtes-vous impacté ?

Oui, si vous disposez de certificats émis avec une des marques de Symantec (Symantec, Thawte, Geotrust, RapidSSL) via Nameshield ou d’autres prestataires avec qui vous travailleriez. Reste à les répartir dans les deux catégories mentionnées. Nous pourrons vous aider à identifier les éventuels certificats impactés ainsi que leur répartition dans les bonnes catégories, afin de prévoir les actions à mener à partir du 1er décembre 2017.

Et Digicert dans tout ça ?

Digicert est une société américaine, dont la part de marché actuelle représente 2,2% du marché mondial selon le dernier rapport de W3tech. C’est une société réputée pour la qualité du travail de ses équipes d’authentification et sa conformité avec les Baseline Requirements du CAB forum. Digicert grossit régulièrement depuis plusieurs années sur des valeurs de sérieux et gère les portefeuilles de certificats de sociétés et sites web très importants, partout dans le monde.

Digicert va devenir un acteur majeur du marché des certificats en reprenant les 14% de parts de marché global de Symantec. Plus intéressant encore, les 40% de parts de marché sur les certificats EV et 30% sur les certificats OV que représente Symantec.

Pour l’ensemble des clients de Symantec, cette acquisition est, sur le papier, une bonne nouvelle. C’est une garantie de continuité dans la qualité des prestations fournies. C’est le gage d’une transition efficace vers la nouvelle infrastructure PKI demandée par Google. Reste à surveiller la capacité de Digicert à respecter le calendrier imposé par Google, nous surveillerons cela de près.

Qu’en pense Nameshield ?

Nameshield fait confiance à Symantec et ses équipes depuis de nombreuses années. D’une part pour la qualité de prestation qui nous est offerte et qui nous permet de vous fournir un service de tout premier ordre, et de l’autre pour l’image de marque et la confiance que ce groupe crée auprès des internautes. La gestion de cette crise Google/Symantec ne remet pas en question la confiance que nous avons dans ce partenaire, et dont l’accompagnement reste irréprochable.

Nous étions par ailleurs depuis quelques mois en relation avec Digicert pour étendre le portefeuille de nos solutions, nous accueillons l’annonce de ce rachat comme une nouvelle positive pour nos clients et partenaires, en étant confiant sur la continuité de service que nous pourrons vous proposer. Pour autant, la confiance que vous nous accordez est primordiale et si vous souhaitez avancer dans une autre direction, Nameshield reste à votre écoute pour vous proposer des alternatives.

Connaissez-vous Esperancia ?

Logo Esperancia

Vous avez sûrement déjà remarqué le logo Esperancia dans la signature mail de vos interlocuteurs Nameshield. Mais connaissez-vous son fonctionnement ?

Esperancia est un fonds de dotation qui fonctionne selon un mécanisme novateur et ingénieux : la recherche de financements pérennes dans le temps. Ce système lui permet de tenir son objectif : agir dans la durée auprès des associations qu’elle soutient.

Esperancia - Fonds de dotation

 

Si Esperancia est propriétaire de 15% des parts de notre entreprise, Nameshield lui reverse également 1% de son chiffre d’affaire annuel.

Par conséquent, en tant que client Nameshield, vous participez vous aussi au développement d’Esperancia.

Ce fonds de dotation fonctionne donc d’une manière assez inédite et Nameshield et les autres entreprises mécènes sont en ce sens des entreprises pionnières.

Grâce aux fonds récoltés par dons en euros ou en capital, Esperancia accompagne et finance des projets associatifs existants, destinés à protéger et accompagner les enfants et les jeunes défavorisés dans leur développement afin de leur permettre de devenir des adultes autonomes financièrement et capables de prendre toute leur place dans la société.

Esperancia se veut être « passeur d’Espérance » auprès des jeunes en difficultés. En parallèle de cette mission, Esperancia donne aussi un sens complémentaire à l’engagement de nos collaborateurs et à leur implication dans notre entreprise : nous nous engageons à leurs côtés dans des projets sociétaux.

 

En juillet dernier, les locaux de Nameshield ont accueilli le projet « Réussir Angers », créé pour remobiliser des jeunes fragilisés de 18 à 30 ans qui ont, en autres, pour point commun de méconnaître les codes professionnels. Un des objectifs de cette journée consistait à sensibiliser ces jeunes adultes, les initier au monde de l’entreprise et leur faire prendre confiance en eux.

Autour d’un repas convivial, les jeunes ont pu écouter quatre collaborateurs Nameshield évoquer leur parcours personnel. Dans ce contexte favorable, rassurant et sans faux-semblant, les jeunes intégrés au projet ont pu sonder les doutes, les embûches et les difficultés rencontrés par nos collègues volontaires, mais aussi les avancées, les petites et grandes victoires de chacun.

Un moment d’échanges et de partage enrichissant pour tous les participants, de chaque côté de la scène.

Pour plus d’informations, rendez-vous sur le site d’Esperancia.

.BRAND : 4 épisodes, de quoi tenir tout l’été

. brand : 4 épisodes, de quoi tenir tout l’été
Photo : CC BY-SA 3.0 Nick Youngson – source : http://nyphotographic.com/

Acte 3 : La dépression

 

Il y a encore cinq ans, le nombre d’extensions de noms de domaine était correct : moins de 500. Il était encore possible d’enregistrer sa marque et le nom de son entreprise dans l’extension de son choix et de visualiser les dépôts frauduleux. Les attaques étaient peu communes et l’on se défendait lorsque des petits malins faisaient des dépôts litigieux. Certaines extensions n’acceptaient d’ailleurs que des sous-domaines, tel que l’Australie et le Royaume-Uni. Impossible d’enregistrer à la racine et impossible surtout d’enregistrer sans avoir de droit quelconque : .CO.UK pour les entreprises, .AC.UK pour le monde académique,…

Mais ça c’était avant.

 

Saga noms de domaine en .brand - Nombre TLD délégués

 

Arrivèrent ensuite quelques extensions génériques et si les rares extensions créées ne causèrent que peu de problème (.MUSEUM, .MOBI, .AERO,…), ce ne fut pas le cas du millier de nouvelles extensions déléguées suite au programme des new gTLDs ouvert le 12 janvier 2012. Bien que des marques aient déposé des .BRAND ou .SOCIETE pour protéger leurs territoires, de nombreuses extensions étaient ouvertes et la course à l’enregistrement permit à certains de créer de gros dégâts. L’enregistrement de BLOOMBERG.MARKET et de VINCI.GROUP en sont deux exemples particulièrement médiatisés.

Aujourd’hui, la gestion des noms de domaine est gérée par des personnes dédiées à cette activité, majoritairement au sein des départements juridique, marketing et SI.

Mais alors que faire ? Enregistrer son nom de domaine dans toutes les extensions ? Dépenser une somme importante en procédures de récupération de noms de domaine ? Un entre-deux ?

Des alternatives intéressantes sont nées de l’ouverture des new gTLDs :

  • Créer une extension fermée avec des sous-domaines permettant de retrouver le lien identification-confiance, tel que le projet du .FX que j’ai présenté voici quelques jours à NetWare2017 ;
  • Créer sa propre extension : certaines le font déjà très bien, telles que .BNPPARIBAS ou .LECLERC ;
  • Aider l’internaute final et c’est le projet du CEO de Nameshield à travers Brandsays, une extension pour navigateur.

Si les marques continuent à déposer légitimement des noms de domaine, elles développent également d’autres moyens d’accès, tels que le SEO ou les réseaux sociaux.

Alors que l’INTA dans sa récente étude mettait en avant des chiffres impressionnants concernant les actions défensives, il convient de se poser la bonne question pour la bonne action. Nous verrons ainsi dans le quatrième et dernier épisode de cette saga de l’été, comment comprendre la stratégie d’un .BRAND.

 

Lire l’acte 1 : Le déni (et la colère)

Lire l’acte 2 : L’expression

Lire l’acte 4: La reconstruction

.BRAND : 4 épisodes, de quoi tenir tout l’été

. brand : 4 épisodes, de quoi tenir tout l’été
Photo : CC BY-SA 3.0 Nick Youngson – source : http://nyphotographic.com/

Acte 2 : L’expression

 

Nous en étions restés à l’époque où les marques n’ont pas senti le vent tourner, les techniques évoluer et les noms de domaine déposés. (Lire l’acte 1 : Le déni (et la colère))

L’exemple McDonalds est en ce sens intéressant. En 1994, Wired, magazine américain créé un an plus tôt, communique sur le cas de mcdonalds.com. Joshua Quittner, journaliste chez Newsday, contacte McDonald’s pour leur demander si l’enregistrement de mcdonalds.com les intéresserait. Pas ou peu de réponse. Il enregistre le nom, contacte McDonald’s qui ne lui répond pas. Puis publie son article sur Wired en mettant en adresse de contact ronald@mcdonalds.com.

McDonald’s se plaint et Quittner demande une donation pour les œuvres de charité : ce sera 3500 USD pour l’équipement en informatique d’une école de New York.

Noms de domaine mcdonalds.com - .brand: 4 épisodes de quoi tenir tout l'été

 

On se souviendra en analogie d’un ouvrier russe demandant un cadeau à Vladimir Poutine : ce dernier ne pouvant refuser face à la caméra, lui offrira sa montre, d’une valeur d’un an de salaire.

Les attaques virulentes des marques sont légion pour récupérer les noms de domaine de petits plaisantins, dont certains sont internes à l’entreprise, tel est le cas pour mtv.com.

Les marques se fédèrent entre elles, contactent l’ICANN afin de développer des procédures simplifiées, même si, selon le fameux trademark dilemna, l’organisme américain était au courant depuis longtemps du risque de cybersquatting.

Du côté des juristes, des formations se lancent de chaque côté de l’Atlantique et les UDRP, SYRELI, URS et autres se développent afin de défendre les territoires numériques.

La France, connue depuis longtemps comme un pays adepte des marques, ne se laissera pas faire et est aujourd’hui le deuxième pays au monde en termes de résolutions de litiges concernant les noms de domaine.

Ainsi, dans le territoire virtuel, et à contrario du réel, la police est financée par les marques. Les titulaires de territoire, assimilables à des pays, ne font rien ou presque : récupérer un .Fr peut être faisable via une procédure SYRELI alors que chez nos amis d’outre-Rhin, aucune procédure alternative n’existe : pour demander son .DE, c’est le tribunal ou rien.

Malgré tout, une économie de défense de marques s’organise et un écosystème y est ainsi développé. Tout semble bien se passer, jusqu’à l’arrivée des nouvelles extensions, appelée dans le milieu, le premier round….

 

Lire l’acte 3 : La dépression