Retrouvez sur le site de Nameshield et la plateforme Webikeo, le replay du webinar « Cyberisque : anatomie des attaques sur le DNS et le nom de domaine, exemples et solutions à mettre en place », animé par Christophe GERARD, Security Product Managerde Nameshield.
Dans un monde qui continue sa mue vers la digitalisation, les entreprises déjà bien au fait du cyberisque pesant sur les organisations, ont vu les menaces augmenter pendant la période COVID. La nécessité de sécuriser ses actifs numériques est plus que jamais au cœur des sujets IT.
Au programme de ce webinar :
L’importance stratégique du DNS et des noms de domaine
A la mi-janvier 2021, la ville d’Angers a été victime d’une cyberattaque de type ransomware. Cette attaque survient après une série de rançongiciels visant notamment les administrations publiques : Aix-Marseille, Annecy, La Rochelle, Vincennes par exemple. Une cyberattaque parmi tant d’autres puisque depuis la crise du Covid 19 : l’Agence nationale de la sécurité des systèmes d’information (l’ANSSI) déplore une multiplication par 4 des attaques de ce type.
Le déroulé des faits
Selon Ouest France, « À partir d’un ordinateur ou un appareil relié au réseau de la Ville, une personne aurait ouvert, de manière involontaire (ou pas) une pièce jointe contenant un logiciel malveillant ». L’attaque a démarré sous la forme d’une usurpation du compte Twitter du maire d’Angers, Christophe Béchu. Parallèlement, des problèmes d’accès via badges ont été détectés pour entrer dans la mairie. Dans un dernier temps, ce sont les sites Internet d’Angers et métropoles, ainsi que certains autres services (bibliothèque, conservatoire) qui ont été visés. Les sites étaient inaccessibles, et certains collaborateurs ne pouvaient plus recevoir ni envoyer d’emails.
Le ransomware, utilisé par les pirates informatiques dans cette attaque, consiste à bloquer une certaine masse de données ou bien à les corrompre. L’objectif étant d’utiliser les données récoltées, et/ou de récupérer de l’argent, une « rançon » contre laquelle l’attaque est stoppée.
Accompagnée par l’ANSSI, la direction des systèmes d’informations de la métropole angevine a travaillé dès samedi matin à un protocole de restauration et de sauvegarde des données. Effectivement, Angers bénéficie de l’aide technique prioritaire de l’ANSSI grâce à son statut de collectivité territoriale. Les services reviennent au fur et à mesure depuis l’attaque.
Quelles conséquences ?
Bien que la ville d’Angers ait officiellement communiqué sur le fait qu’ « aucune extraction de données » n’ait été identifiée, ce genre d’attaque n’est pas sans conséquences. Conformément à la procédure, un signalement a été déposé à la Commission Nationale de l’Informatique et des Libertés (CNIL). Comment alors s’assurer qu’aucune donnée n’ait été interceptée par les pirates ? Dans tous les cas, la restauration des données prendra un certain temps, et ralentira le SI de l’entreprise durant plusieurs jours voire semaines.
Une attaque qui démontre des failles de sécurité dans le système d’informations des administrations publiques, mais aussi une augmentation massive des attaques et du professionnalisme des pirates.
Dans un monde qui continue sa mue vers la digitalisation, les entreprises déjà bien au fait du cyberisque pesant sur les organisations, ont vu les menaces augmenter pendant la période COVID. La nécessité de sécuriser ses actifs numériques est plus que jamais au cœur des sujets IT.
Au programme de ce webinar à destination des Grands Comptes, Entreprises publiques et privées, Online Players et plus généralement des entreprises utilisant Internet comme canal de communication et de diffusion, notre expert revient sur :
L’importance stratégique du nom de domaine
Les attaques et risques liés à la gestion administrative
Les attaques et risques liés à la gestion technique
Les bonnes pratiques à mettre en place
Retrouvez ce webinar animé par Christophe GERARD, Security Product Manager de Nameshield Group, en replay sur la plateforme Webikeo :
Le 15 octobre dernier, Kaspersky, éditeur d’antivirus, publiait un rapport édifiant quant au volume des cyberattaques visant directement les objets connectés.
Si le secteur s’attendait bien
sûr à ce que cette nouvelle génération d’objets soit directement ciblée par des
cyberattaques, la progression du nombre de ces dernières est alarmante et
laisse aisément imaginer les failles de sécurité que présentent les objets
connectés.
Selon l’estimation présentée par
Kaspersky, entre le début de l’année 2018 et la mi-2019, les attaques auraient
atteint le chiffre record de 105 millions, soit 9 fois plus que l’année
précédente complète.
Afin de mener cette étude, Kaspersky a usé de la technique du piège, en déployant plus de 50 honey pots dans le monde. Un honey pot est un programme imitant la signature d’objets connectés créé spécifiquement pour attirer des cybercriminels. Il a ainsi été possible de détecter des attaques de pirates tombés dans le piège qui leur était tendu. Selon Kaspersky, durant cette expérience, plus de 20 000 sessions auraient été infectées et ce toutes les 15 minutes. 105 millions attaques provenant de 276 000 adresses IP uniques ont ainsi été détectées (contre 12 millions en 2018).
Le rapport indique de plus que,
tant en 2018 qu’en 2019, la Chine et le Brésil se disputent la première place
des pays d’origine des attaques lancées.
Les malwares principaux qui
utilisent les failles de sécurité des objets connectés sont bien connus (Mirai
par exemple, pour ne pas le citer) et identifiés.
Si nous sommes conscients que l’IoT est un terrain de jeu privilégié pour les pirates, les premières mesures de sécurité sont bien loin d’être systématiquement appliquées. Il est crucial par exemple de modifier le mot de passe installé par défaut à chaque achat d’appareil connecté.
Rappelons-le, si les technologies
de cyber malveillances sont certes de plus en plus sophistiquées, la première
porte d’entrée des pirates reste le manque de vigilance des utilisateurs.
Le 10 mai dernier, dans un communiqué de presse, la société Pacers Sports & Entertainment (PSE), propriétaire de l’équipe de basketball des Pacers de l’Indiana, franchise de la NBA (National Basketball Association), a révélé avoir été victime d’une attaque sophistiquée de phishing fin 2018.
Pour rappel, le phishing est une technique utilisée par
des fraudeurs pour obtenir des informations personnelles dans le but de
perpétrer une usurpation d’identité. Il s’agit d’une technique d’« ingénierie
sociale » qui consiste à exploiter non pas une faille informatique, mais la «
faille humaine » en dupant les internautes par le biais d’un email semblant
provenir d’une entreprise de confiance, typiquement une banque ou un site de
commerce.
Pacers Sports & Entertainment victime d’une attaque de phishing
Fin 2018, la société PSE a ainsi été la cible d’une campagne d’emails de phishing permettant l’accès non autorisé à des emails contenant des informations personnelles d’un certain nombre de personnes.
Cette cyberattaque a touché un
nombre limité de personnes, cependant la quantité d’informations volées reste
importante : nom, adresse, date de naissance, numéro de passeport, permis
de conduire, numéro d’identification d’état, numéro de compte bancaire, numéro
de carte de crédit, signature numérique, nom d’utilisateur et mot de passe, et
pour certains le numéro de sécurité sociale.
La société américaine a alors
rapidement mis en place des mesures pour sécuriser les comptes de messagerie
touchés et a lancé une enquête avec l’aide d’experts judiciaires. Cette enquête
a ainsi révélé que les pirates ont eu accès aux comptes d’un nombre limité de
personnes, entre le 15 octobre et le 4 décembre 2018. Le communiqué ne donne
cependant aucun détail sur l’identité des personnes visées.
PSE a informé individuellement
chaque victime quelles informations les concernant ont été dérobées et rassure
en affirmant qu’ « à ce jour, elle n’a reçu aucun rapport concernant une utilisation
abusive ou une tentative d’utilisation abusive des informations personnelles ».
La société a offert aux victimes de cette attaque, un accès gratuit à des
services de surveillance de crédit et de protection d’identité.
Quelques règles simples face au phishing
Les attaques de phishing deviennent de plus en plus fréquentes mais surtout de plus en plus sophistiquées et visent tout type de secteurs. Chacun doit donc redoubler de vigilance.
Pour conclure, rappelons quelques règles simples pour vous protéger face à des tentatives de phishing :
Ne pas répondre à une demande d’informations
confidentielles par mail (code d’accès et mots de passe, code de carte bleue…)
;
Ne jamais ouvrir une pièce jointe dont
l’expéditeur est soit inconnu soit d’une confiance relative ;
Vérifier les liens en passant la souris
au-dessus (sans cliquer) pour s’assurer qu’ils renvoient vers des sites de
confiance ;
Être attentif à la qualité du langage utilisé
par l’expéditeur du mail ;
Ne pas faire confiance au nom de l’expéditeur du
mail. En cas de doute, contacter l’expéditeur par un autre biais.
Devant la recrudescence et la puissance sans cesse augmentée des cyberattaques, un exercice de simulation d’une attaque informatiquedans le monde de la finance va être organisé par les 7 puissances économiques que sont les membres du G7.
Dans le cadre de la présidence
française, c’est la France qui pilotera ce test, auquel 24 autorités financières
de 7 membres du G7 participeront et ce pendant 3 jours.
Nul n’est aujourd’hui sans savoir
que le secteur bancaire est l’un des plus visés par les cybercriminels [19% des
attaques cibleraient les institutions bancaires selon une étude IBM].
C’est ainsi que pour la toute première fois, les pays du G7 organisent début juin 2019, une simulation transfrontalière de cyberattaque. Ce test est organisé par la Banque de France et propose le scénario suivant : un logiciel malveillant sera injecté au sein d’un composant technique très utilisé dans le secteur financier.
Comme l’indique Bruno Le Maire, ministre de l’Économie et des Finances de France, « Les menaces cyber sont la preuve que nous avons besoin de plus de multilatéralisme et de coopération entre nos pays ».
Selon cet argument, ce même
exercice sera mené au même moment dans d’autres pays, lui conférant une
dimension particulière. Si d’autres exercices de ce type avaient en effet déjà
été réalisés auparavant, notamment par la Banque d’Angleterre et la Banque
centrale européenne, aucun de ces tests n’avait été réalisé en simultané.
Quels sont les buts recherchés de cet exercice conjoint ? Établir fermement les risques d’une propagation épidémique d’une cyberattaque, afin de pouvoir améliorer la sécurisation des infrastructures et de s’assurer de la réactivité en cas d’attaque et d’éviter une contagion tous azimuts.
Dans son dernier rapport trimestriel, Nexusguard indiquait qu’après la fermeture par le FBI de 15 sites web vendant des services de cyberattaques, il a pu être constaté une diminution de 85% de la taille des attaques DDoS moyennes et de 24% des grandes attaques.
De la même façon, ces fermetures
auraient contribué à une baisse concomitante de 11% du volume des attaques par
rapport à la même période en 2018 et à l’échelle mondiale.
C’est en effet en décembre 2018 que le FBI a réussi à faire fermer boutique à 15 sites web proposant des services d’attaques DDoS, appelés sur le marché des « booters » ou « services booters ».
Ces booters utilisent pour parvenir à leurs fins des IP stresser, qui sont à l’origine des outils permettant de tester la résilience d’un serveur ou d’un réseau. Les cybercriminels détournent donc ces IP stresser et envoient via ces derniers un grand volume de requêtes vers des serveurs jusqu’à ce que ceux-ci soient surchargés et ne puissent plus répondre.
Le rapport Nexusguard indique
également que les 15 sites fermés par le FBI seraient à l’origine technique
d’environ 11% des attaques DDoS mondiales et les pirates associés auraient
perpétré plus de 200 000 attaques DDoS de tailles variables depuis 2014.
Bien sûr, cette baisse risque d’être uniquement
temporaire, la multiplication des réseaux de bot étant le véritable fléau de
notre décennie en matière de cybercriminalité.
Les médias ont très largement relayé le
weekend dernier les méfaits d’une attaque à priori sans précédent et visant les
noms de domaine.
C’est en effet dans la nuit du 22 au 23 février que, l’ICANN a déclaré des attaques d’une grande envergure visant les noms de domaine : il s’agit de DNS hijacking. Ces attaques consistent « à remplacer les adresses des serveurs » autorisés « par des adresses de machines contrôlées par les attaquants », a expliqué l’organisme, permettant aux pirates d’interroger les données pour découvrir mots de passe, adresses mail etc., voire de capter complètement le trafic vers leurs serveurs.
Une vague d’attaques qui a débuté en novembre 2018
En réalité, il ne s’agit pas
d’une attaque, mais d’une vague d’attaques que le système des noms de domaine
subit depuis maintenant plusieurs semaines.
Dès la fin du mois de novembre
2018, une attaque visait le Liban et les Émirats Arabes Unis et avait affecté
les noms de domaine en .GOV. Dans cette première attaque, les cybercriminels
avaient procédé à du DNS hijacking.
Début janvier 2019, la société FireEye faisait état dans un article d’une vague de DNS hijacking affectant les noms de domaine appartenant au gouvernement et aux secteurs des télécommunications et d’Internet au Moyen-Orient, en Afrique du Nord, Europe et Amérique du Nord.
Si les pirates n’avaient pas été
alors identifiés, les premières recherches laissaient à penser que ces derniers
pourraient opérer depuis l’Iran.
Fait important quant à l’attaque
du 22 février : elle frappait cette fois-ci, parfois avec succès, des
acteurs importants de l’Internet.
En quoi ces attaques consistent-elles ?
La méthode employée est celle du DNS hijacking, déployé à grande
échelle. Il s’agit d’une attaque malicieuse, également appelée redirection DNS.
Son but : écraser les paramètres TCP/IP d’un ordinateur afin de le diriger
vers un serveur DNS pirate en lieu et place du serveur DNS officiel paramétré. Pour
ce faire, le pirate prend le contrôle via différentes techniques de la machine
cible pour altérer les configurations DNS.
Le gouvernement américain, entre
autres, a récemment tiré la sonnette d’alarme face à ces séries d’attaques très
sophistiquées dont le but serait de siphonner un important volume de mots de
passe. Ces attaques cibleraient plus spécifiquement les gouvernements et les
sociétés privées.
Entre DNS hijacking et cyberespionnage
Selon l’article de Talos de novembre 2018, les pirates derrière ces attaques auraient ainsi récupéré des emails et des informations de connexions (identifiants – mots de passe) en hijackant le DNS, faisant en sorte que le trafic des emails des institutions ciblées et le VPN (Virtual Private Networking) soient redirigés vers un serveur contrôlé par les cybercriminels.
Une fois les connecteurs
récupérés, d’autres attaques peuvent être lancées, telles que le
Man-In-The-Middle, à des fins d’espionnage.
Alors comment se protéger efficacement ?
Il faut être conscient que si ces
attaques visent prioritairement le système d’avitaillement des noms de domaine,
nous ne le dirons jamais assez, la
première porte d’entrée d’un pirate à votre portefeuille de noms de domaine est
vos accès plateforme de gestion.
La première et absolue recommandation est de protéger ses accès
Nameshield a mis en place, depuis de nombreuses années, des dispositifs de sécurisation de l’accès
au portail de gestion des noms de domaine (filtrage IP, ACL, HTTPS) et propose en sus l’authentification 2 facteurs et le SSO.
Si ces solutions complémentaires ne sont pas encore en place, Nameshield recommande
vivement de mettre en place ces solutions, tout
particulièrement la double factor
authentification, pour lutter contre les vols de mots de passe.
Mettre en place le protocole DNSSEC
La mise en place du protocole DNSSEC, s’il était bien plus largement déployé, aurait pu empêcher ou à tout le moins amoindrir l’impact de ces attaques, en limitant leurs conséquences.
Il devient plus
qu’urgent que DNSSEC soit désormais massivement adopté, tant au niveau des
résolveurs que des serveurs faisant autorité.
Protéger ses noms de domaine stratégiques
La mise en place d’un registry lock sur vos noms stratégiques empêchera les modifications frauduleuses de ces derniers.
Si aucune solution parfaite
n’existe aujourd’hui pour protéger à 100% les infrastructures des
cyberattaques, c’est l’application de
plusieurs mesures préventives combinées qui permettra de diminuer les
vulnérabilités exploitées (si) facilement par les pirates.
Après le succès de l’opération collaborative Power Off, rassemblant plusieurs pays, dont le Royaume-Uni, l’Espagne, le Canada, les USA et les Pays-Bas, épaulée par Europol, ayant conduit au démantèlement de Webstresser.org [l’une des entités responsables de plus de 4 millions d’attaques DDoS dans le monde] en mai 2018, l’Union Européenne a décidé de travailler à la création d’un régime spécifique de sanctions contre les cybercriminels.
Lors du sommet européen du 18 octobre dernier, les dirigeants des 28 états membres se sont prononcés sur des sanctions à l’encontre des pirates informatiques et ce, après la récente tentative de piratage contre l’Organisation pour l’Interdiction des Armes Chimiques (OIAC) à La Haye.
Des accusations contre Moscou
La tentative de piratage en avril 2018 déjouée par les Pays-Bas, visait l’Organisation pour l’Interdiction des Armes Chimiques. Cette dernière aurait été perpétrée par l’agence russe des renseignements militaires ou GRU. Face à cette accusation, Moscou nie cependant toute implication.
Cette cyberattaque contrée s’est jouée au moment même où l’organisation menait une enquête sur l’empoisonnement par une substance neurotoxique au Royaume-Uni d’un ancien agent russe. Malgré le démenti de Moscou, Londres persiste à accuser le GRU d’avoir perpétré cette tentative d’empoisonnement.
Les pays européens se mettent d’accord sur la sanction
Lors d’une conférence de presse, à l’issue du sommet européen, le président du conseil européen, Donald Tusk, a affirmé avoir fait une requête auprès des ministres européens, afin qu’ils élaborent des sanctions spécifiques contre les auteurs de cyberattaques. Cette demande, visant initialement à protéger les entreprises et les internautes, a été validée par les dirigeants des états membres de l’Union Européenne. Selon Donald Tusk, les sanctions constitueront à geler les biens fiscaux des organisations ou des pirates informatiques, et à leur interdire l’accès aux 28 pays membres. Dans l’urgence, 8 états dont le Danemark, les Pays-Bas, la Lituanie, la Lettonie, l’Estonie, la Roumanie, la Finlande et la Grande Bretagne ont imposé à l’Union Européenne de prendre des mesures immédiates pour sanctionner les auteurs de piratages informatiques.
Dans un monde où les cyberattaques pourtant d’envergure semblent souvent rester impunies, les pays membres soulignent l’urgence et l’absolue nécessité d’imposer ces sanctions communes.
En novembre 2016, Tesco Bank, banque de détail britannique détenue à 100% par le groupe de distribution Tesco, avait essuyé une attaque informatique d’une ampleur alors inédite dans ce secteur. En moins de 48 heures, les pirates avaient réussi à prélever sur des comptes clients près de 2.26 millions de livres.
40 000 comptes avaient été touchés par cette attaque et l’argent avait été subtilisé par les cybercriminels sur 20 000 d’entre eux.
Même s’il s’agissait de montants peu élevés et que ceux-ci avaient été remboursés aux victimes, la question de la solidité et la fiabilité des systèmes informatiques du secteur bancaire avait bien sûr été soulevée.
La décision de justice rendue par le FCA (Financial Conduct Authority), le régulateur financier du Royaume-Uni, est assez éloquente en la matière, jugeant que la banque n’a pas suffisamment protégé ses utilisateurs contre les cyberattaques. Les cybercriminels avaient en effet réussi à exploiter des failles pour mener à bien leur attaque, notamment dans le système de conception des cartes bancaires.
Si Tesco risquait une amende de 33.6 millions de livres, le groupe a finalement écopé d’une sanction de 16.4 millions de livres, soit environ 18.4 millions d’euros.
Le but de cette amende : montrer que le régulateur financier n’a « aucune tolérance pour les banques qui échouent à protéger les clients contre des risques prévisibles »*, souligne Mark Steward, executive director of enforcement and market oversight au FCA.
Le FCA a ainsi exprimé que Tesco Bank avait manqué à ses obligations de vigilance quant à :
La fabrication et la distribution des cartes de crédit
La configuration d’un système d’authentification spécifique et de détection des fraudes
La prise d’actions appropriées pour anticiper les risques d’attaques et de fraudes
Mark Steward ajoute également que dans le cas précis de l’attaque de novembre 2016, la banque n’avait géré une alerte spécifique qu’une fois que l’attaque avait débuté.
Pour la FCA, « la norme doit être désormais celui de la résilience, afin de réduire en amont le risque d’une cyberattaque, pas seulement de réagir à celle-ci »**.
*“The fine the FCA imposed on Tesco Bank today [1st October] reflects the fact that the FCA has no tolerance for banks that fail to protect customers from foreseeable risks”.
**“The standard is one of resilience, reducing the risk of a successful cyber attack occurring in the first place, not only reacting to an attack.”
Nameshield utilise des cookies
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience🍪.
Nameshield souhaite utiliser des cookies permettant d’assurer le bon fonctionnement du site et, avec nos partenaires, d’en mesurer son audience. Plus d'informations dans notre politique de cookies 🍪.
Ces cookies sont essentiels au bon fonctionnement du site web. Ils assurent les fonctionnalités de base et les fonctions de sécurité du site web, de manière anonyme.
Cookie
Durée
Description
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional
1 year
The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
Ces cookies aident à réaliser certaines fonctionnalités comme le partage du contenu du site web sur les plateformes de médias sociaux, la collecte de commentaires et d’autres fonctionnalités de tiers.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Ces cookies sont utilisés pour comprendre comment vous arrivez sur notre Site et pour mesurer le nombre de visiteurs.
Cookie
Durée
Description
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14
1 minute
Set by Google to distinguish users.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT
2 years
YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
Ces cookies sont utilisés pour vous proposer des offres et services personnalisés, plus adaptés à vos centres d’intérêts.
Cookie
Durée
Description
NID
6 months
NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE
5 months 27 days
A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC
session
YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id
never
YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
![[REPLAY WEBINAR] Cyberisque : panorama des attaques sur le DNS et le nom de domaine, cas concrets et solutions à mettre en place](https://blog.nameshield.com/fr/wp-content/uploads/sites/3/2020/09/replay_article_blog.png)
