[INFOGRAPHIE] Sécurisez votre infrastructure DNS

Les noms de domaine stratégiques d’une entreprise et les services Internet qui y sont associés dépendent du DNS et exigent une haute disponibilité ainsi qu’un niveau élevé de sécurité. Une interruption de services aurait de lourdes conséquences pour les entreprises victimes.

Pourtant, le DNS est bien souvent l’infrastructure la moins sécurisée d’une entreprise et est exposé à de nombreuses attaques potentielles.

Quelles sont les principales cyberattaques visant le DNS ? Quelles en sont les conséquences ? Comment sécuriser votre infrastructure DNS pour vous en prémunir ?

Les réponses dans cette infographie :

Retrouvez également sur le blog les articles : DNS – le grand oublié de l’Internet et les 3 attaques DNS les plus communes et comment les combattre.

Pour la première fois depuis 2010, l’ICANN prévoit de modifier la clé KSK DNSSEC

L’ICANN a confirmé le changement de clé KSK du DNS racine en date du 11 octobre 2018.

Pour bien comprendre, reprenons brièvement les bases. L’Internet fonctionne notamment grâce au système DNS (Domain Name System). Véritable carnet d’adresse du web, le DNS traduit en adresse IP les noms de domaine, permettant ainsi à chacun de se connecter à l’adresse voulue. Le DNS est de fait indispensable au bon fonctionnement d’Internet, pas tant d’un point de vue technique, mais d’un point de vue opérationnel. Il serait en effet aujourd’hui inconcevable de devoir utiliser des adresses IP à la place de noms de domaine pour naviguer sur le web.

Le DNS va permettre à l’internaute de renseigner dans son navigateur web, un nom de domaine pour accéder à un site web. Le navigateur va alors « résoudre » ce nom de domaine pour obtenir l’adresse IP du serveur web qui héberge ce site web et l’afficher. On appelle ça la « résolution DNS ».

Du fait de sa position centrale dans le bon fonctionnement du web, le DNS doit donc être protégé et rester hautement disponible. Si ce protocole a bien été conçu avec un souci de sécurité, le contexte cybercriminel était alors bien différent et plusieurs failles ont depuis été détectées.

C’est pour le renforcer et contrer ces vulnérabilités que le protocole DNSSEC a été développé.

DNSSEC permet de se prémunir de différents types d’attaques, en particulier l’empoisonnement du cache, en assurant l’intégrité de la résolution DNS.

Pour assurer l’intégrité de la résolution DNS, DNSSEC permet d’établir une chaine de confiance qui remonte jusqu’à la racine du DNS. La sécurité des données est effectuée à l’aide d’un mécanisme de clés (KSK pour Key Signing Key & ZSK pour Zone Signing Key) qui signe les enregistrements DNS de sa propre zone. Les clés publiques KSK sont alors envoyées au registre correspondant pour être archivées ; le registre étant lui-même lié via DNSSEC au serveur root, la chaine de confiance s’établit. Chaque zone DNS parente, garantit l’authenticité des clés de ses zones filles en les signant.

C’est aujourd’hui pour renforcer ce protocole de sécurité que l’ICANN a décidé de changer la fameuse clé DNSSEC le 11 octobre prochain.

Le roulement KSK va donc permettre de générer une nouvelle paire de clés cryptographiques publiques et privées et de distribuer le nouveau composant public aux parties qui utilisent les résolveurs de validation.

Pourquoi ce changement (KSK rollover pour les intimes) ?

Il n’est bien sûr pas souhaitable qu’une clé cryptographique demeure identique et ne soit pas modifiée. C’est ce changement qui pourra assurer que l’infrastructure DNS est en mesure de supporter un changement de clé, en cas d’urgence notamment. Depuis qu’elle est entrée en fonctionnalité en 2010, la clé KSK utilisée pour les DNSSEC de la zone racine n’a jamais été modifiée.

L’ICANN a expliqué que « l’évolution permanente des technologies et des installations Internet, le déploiement de dispositifs IoT et l’augmentation de la capacité des réseaux dans le monde entier, conjugués au défaut regrettable de sécurité de ces dispositifs et de ces réseaux, font que les attaquants disposent d’une capacité de plus en plus grande de paralyser les infrastructures Internet ». « Plus précisément, cette force d’attaque risque de dépasser les capacités de la communauté des opérateurs de serveurs root et elle ne sera pas en mesure d’opposer une défense adéquate. »

Aujourd’hui, 25% des utilisateurs mondiaux d’Internet, c’est-à-dire 750 millions de personnes, utilisent des résolveurs validant les réponses avec DNSSEC.

Qui pourra être affecté par ce changement ?

Plusieurs types de structures pourraient être affectés par le roulement de la clé :

Les développeurs et distributeurs de logiciels Internet
Les intégrateurs de systèmes
Les opérateurs de réseau
Les opérateurs de serveurs racine
Les utilisateurs finaux (si les mesures adéquates ne sont pas prises en amont par les opérateurs de résolveurs).

L’ICANN propose un banc d’essai pour toutes les parties souhaitant s’assurer que leurs systèmes peuvent gérer correctement le processus de mise à jour automatique : go.icann.org/ksktest

Pour plus d’informations : https://icann.org/kskroll

DNS – le grand oublié de l’Internet

« Le DNS continue à être l’un des services Internet les plus ciblés, et reste le talon d’Achille de l’infrastructure Internet mondiale. Non seulement le DNS a été le protocole le plus utilisé cette année pour les attaques DDoS par réflexion/amplification, mais on peut aussi noter qu’une seule attaque ciblant un fournisseur de DNS spécifique, a été la cause d’une des interruptions de trafic les plus importantes de 2016 [NDLR : attaque sur le prestataire Dyn qui a rendu inaccessible durant une dizaine d’heures une grande partie d’Internet aux USA, touchant notamment Twitter, Ebay, Netflix, Amazon, PayPal… en octobre 2016]. »

Arbor Network Infrastructure Security Report – Juin 2017.

Mais, qu’est-ce que le DNS ?

Parce que l’être humain est bien plus apte à retenir un nom que des chiffres, et parce que c’est encore plus vrai pour se rendre sur un site Internet entre un nom de domaine (www.nameshield.net) et une adresse IP (256.17.28.192), l’être humain, pour se faciliter la vie, a créé le DNS : Domain Name System (ou Service).

Par exemple : « Je veux aller sur Google.com, mon navigateur va demander au DNS quelle est l’adresse IP du serveur web qui héberge google.com, il va l’obtenir, s’y rendre et télécharger la page. »

Le DNS est une base de données publique, décentralisée et répartie, qui associe des noms de domaine à des adresses IP. Il existe depuis 1985. C’est une pièce que l’on pourrait qualifier d’infrastructure de l’Internet, indispensable à celui-ci pour fonctionner… et pourtant le DNS est invisible pour l’utilisateur.

Le DNS a été massivement adopté parce qu’il est pratique. Il simplifie la vie de l’internaute et lui permet de facilement identifier, différencier, repérer, mémoriser et transmettre le nom de domaine d’un site web associé à une marque. Il a aussi été adopté de l’autre côté du miroir par les administrateurs réseaux pour identifier et différencier des serveurs, c’est encore plus vrai avec IPv6, avec la multiplication des hosts et l’arrivée du tout connecté. Le DNS leur permet enfin et surtout de pouvoir changer des serveurs et adresses IP en toute transparence pour l’internaute.

Le DNS est tellement omniprésent que sans le DNS, l’Internet tombe ! Tout le monde doit pouvoir y accéder sinon le web ne fonctionnerait plus. C’est ce qui est arrivé en 2016 à nos compatriotes américains qui ont dû se passer de Twitter ou d’acheter frénétiquement pendant près de 10h. Le manque à gagner en terme de chiffre d’affaires et l’impact sur l’image de marque des sociétés impactées ont été considérables.

Mais comme il est invisible, tout le monde a tendance à l’oublier… et à s’en rendre compte lorsqu’il est trop tard.

Les services stratégiques qui dépendent du DNS et les risques associés

Sites web et email sont les deux services majeurs qui dépendent systématiquement du DNS. Imaginez votre site web inaccessible pendant 1 minute, 10 minutes, 1 heure… et les conséquences pour votre entreprise, chiffre d’affaires, discontinuité de service, image de marque, perte de clientèle. Et quelles conséquences pour une absence d’emails sur ces mêmes durées…

Si ces deux services sont les plus potentiellement impactés, d’autres peuvent dépendre du DNS : VPN, VOIP, Messagerie Instantanée… avec des conséquences peut-être moindres mais tout aussi fâcheuses pour le fonctionnement de l’entreprise.

Les attaques sur les DNS

Malheureusement les serveurs DNS sont exposés à de nombreuses attaques potentielles :

– Cache poisoning : faire croire aux serveurs DNS qu’ils reçoivent une réponse valide à une requête qu’ils effectuent, alors qu’elle est frauduleuse. Une fois le DNS empoisonné, l’information mise en cache rend vulnérables tous les utilisateurs (renvoie vers un faux site).

– Man in the middle : l’attaquant altère le ou les serveurs DNS des parties de façon à rediriger vers lui leurs communications sans qu’elles ne s’en aperçoivent.

– DNS Spoofing : rediriger les internautes à leur insu vers des sites pirates.

– DDoS : les DNS sont de plus en plus ciblés par les attaques DDoS afin de les saturer et les empêcher d’assurer la résolution des services clés de l’entreprise.

Et toutes ces attaques ont les mêmes conséquences : détourner ou stopper le trafic des entreprises.

Le grand oublié

Du point de vue de l’internaute, le DNS n’existe pas, celui-ci utilise le système de nommage des noms de domaine pour naviguer et envoyer des emails, il n’a qu’un besoin, que ça marche !

Du côté des entreprises, le problème est différent, il s’agit souvent d’un manque d’information, d’une absence de conscience de l’importance du DNS et des conséquences d’une coupure de service. Dans la plupart des cas, les entreprises n’y font pas réellement attention. Elles vont utiliser un budget important pour enregistrer et gérer des noms de domaine pour augmenter leur visibilité et protéger leurs marques, mais ne vont pas s’attarder sur la robustesse des serveurs DNS mis à leur disposition par leur prestataire.

Les bonnes pratiques à mettre en place : disposer d’une infrastructure DNS de premier ordre

Avant tout, se poser la question de savoir si vos noms de domaine stratégiques bénéficient d’ores et déjà d’une attention particulière du côté de l’infrastructure DNS. Est entendu par stratégique, l’ensemble des noms de domaine sur lesquels reposent le trafic des services clés de la société : sites web, email, VPN, messagerie instantanée…

Acquérir sa propre infrastructure DNS est une solution qui présente les avantages de la flexibilité et du contrôle, mais le coût d’acquisition, gestion et maintien d’un côté, la complexité et le savoir nécessaire de l’autre, sont souvent rédhibitoires ou mal évalués. Il est souvent plus facile de s’orienter vers une infrastructure DNS externe gérée par un registrar, un hébergeur ou un prestataire spécialisé. Il convient alors de vérifier quel taux de disponibilité annuel est garanti et comment il s’appuie sur les bonnes pratiques pour une disponibilité maximale.

Pour assurer une haute disponibilité à vos services Internet, il est crucial de choisir une solution DNS hautement disponible, qui offre :

– les fonctionnalités nécessaires à une utilisation intensive du DNS ;

– un réseau de type anycast pour diminuer le temps de résolution DNS et assurer un temps d’accès à vos sites optimal ;

– une infrastructure DNS sécurisée et restant disponible même en cas d’attaque

– des fonctionnalités clés telles que : GeoIP, Failover, Registry lock, DNSSEC, filtrage anti-DDoS intelligent…

Conclusion :

Le DNS ne se voit pas mais il est partout, il garantit l’accès à vos services clés via la résolution de vos noms de domaine stratégiques, il est potentiellement exposé à de nombreuses attaques aux conséquences désastreuses, et il manque trop souvent d’attention de la part des entreprises. Alors… ne l’oubliez pas et parlez-en le cas échéant à votre interlocuteur Nameshield.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description