L'évolution du panorama des menaces DNS

Le DNS n'a pas été conçu pour la sécurité

Le DNS (Domain Name System) a été conçu dans les années 1980 lorsque l'accès Internet était limité aux organismes publics, aux scientifiques et aux militaires. La principale préoccupation des premiers architectes du système était la fiabilité et la fonctionnalité, et non la sécurité. Par conséquent, les serveurs DNS ont toujours été vulnérables à un large spectre d'attaques, notamment l'usurpation d'identité, l'amplification et le déni de service.

Et ces attaques sont devenues de plus en plus courantes. Selon le Rapport mondial sur les menaces DNS 2021 de l'IDC, 87 %des entreprises ont essuyé des attaques DNS au cours de l'année écoulée, soit une augmentation de 8 % par rapport à l'année précédente. Beaucoup de ces attaques ont eu de graves conséquences. Le rapport a révélé que 76 % des attaques DNS ont entraîné des temps d'arrêt des applications et que le temps moyen pour mettre fin à une attaque a été de cinq heures et demie.

Un certain nombre de facteurs permet d'expliquer l'augmentation des attaques et les entreprises doivent mettre en place un plan pour répondre à chacun de ces facteurs.

Au cours des dernières années, deux changements ont eu lieu dans le paysage DNS : les nouvelles vulnérabilités DNS et l'évolution des habitudes de navigation sur Internet en raison de la pandémie de COVID-19. Pour répondre à ces nouvelles menaces et se défendre contre les menaces existantes, les entreprises doivent accorder une priorité accrue à la sécurité DNS en général et mettre en œuvre une approche multi-couches qui va au-delà du protocole DNSSEC.

Les nouvelles cybermenaces exploitent le DNS et en abusent

En 2021, 44 % des entreprises ont identifié les attaques basées sur DNS comme étant l'un de leurs plus grands défis en matière de sécurité. Il suffit d'un rapide coup d'oeil sur l'année écoulée pour le comprendre.

Pour commencer, plusieurs nouvelles vulnérabilités liées au DNS ont récemment été mises en évidence, notamment :

• Les attaques d'empoisonnement du cache de type « Mot de passe oublié ». Les liens « Mot de passe oublié » sont courant dans les applications Web, mais une vulnérabilité découverte en juillet 2021 les a rendus vulnérables aux attaques d'empoisonnement du cache. Les chercheurs en sécurité ont découvert qu'en lançant une attaque par empoisonnement du cache sur 146 applications Web vulnérables, ils pouvaient rediriger les e-mails de réinitialisation de mot de passe vers des serveurs contrôlés par des attaquants. Cela leur a permis de cliquer sur le lien et de réinitialiser le mot de passe de l'utilisateur, autorisant ainsi un accès légitime à son compte.

• L'exposition de données dans un DNS géré. La recherche présentée lors du Black Hat USA 2021 a démontré que les bugs dans certains services DNS gérés pouvaient exposer du trafic DNS d'entreprise contenant des informations sensibles. En enregistrant un domaine sur le service DNS Route53 d'Amazon ou le Google Cloud DNS qui avait le même nom que le serveur de noms DNS, l'attaquant pouvait faire en sorte que tout le trafic DNS soit envoyé à son serveur. Cela entraînait une exposition des informations sensibles et pouvait donner lieu à des attaques d'usurpation DNS.

• Les attaques DDoS tsuNAME contre les serveurs DNS. tsuNAME est une faille dans le logiciel résolveur DNS qui permet des attaques DDoS contre les serveurs DNS. Des domaines ayant des « dépendances cycliques » peuvent exister, où le domaine A délègue au domaine B et vice-versa. Les résolveurs DNS vulnérables commencent à effectuer des boucles lorsqu'ils sont confrontés à des domaines entraînant des dépendances cycliques. Dans un cas, seulement deux domaines micro-configurés ont créé une augmentation de 50 % du trafic pour les serveurs DNS principaux .nz en 2020.

De plus, l'engouement pour le travail à distance a inspiré d'autres attaques DNS. Depuis le début de la pandémie de Covid-19, plusieurs types d'attaques ont ciblé les routeurs à domicile avec détournement du DNS. Lors du détournement du DNS, l'attaquant fait en sorte que l'enregistrement DNS d'un domaine légitime soit dirigé vers un site sous son contrôle. Lors de ces récentes attaques, le site compromis prétendait offrir des informations sur le Covid-19, mais installait a en réalité un logiciel malveillant sur l'appareil de l'utilisateur.

Étant donné que de nombreux employés travaillent à domicile, que ce soit à temps plein ou partiel, un appareil compromis représente un risque de sécurité réseau important. Un rapport de la Global Cyber Alliance a révélé qu'environ un tiers des violations des données dans le monde avait pour origine des problèmes de sécurité DNS.

Des menaces DNS existantes persistent également

Ces vecteurs de nouvelles attaques DNS viennent s'ajouter à une longue liste de menaces connues. Certaines des attaques les plus courantes impliquant l'infrastructure DNS comprennent :

• Les attaques de déni de service DNS qui entravent les services DNS en bloquant l'accès aux sites qu'ils servent. Ces attaques sont capables d'épuiser les ressources du serveur en envoyant des requêtes pour des domaines inexistants (NXDOMAIN) ou des sous-domaines aléatoires, ou peuvent être à l'origine d'attaques DDoS (DoS distribué) contre un serveur DNS.

• L'usurpation DNS : similaire au détournement de DNS, mais ciblant les résolveurs DNS, qui mettent en cache les enregistrements DNS couramment ou récemment demandés. Une attaque d'usurpation DNS ou d'empoisonnement du cache introduit de faux enregistrements DNS dans le cache d'un résolveur, faisant en sorte que les requêtes envoyées à ces domaines soient acheminées vers un site Web contrôlé par l'attaquant.

• L'amplification DDoS du DNS, qui tire avantage de services qui communiquent sur UDP et génèrent des réponses beaucoup plus importantes que la requête correspondante. Ces facteurs permettent à l'attaquant d'envoyer des requêtes au service et de faire en sorte que ces réponses massives soient envoyées à la cible. Une attaque d'amplification DNS inonde la cible avec des réponses DNS, épuisant ainsi la bande passante et submergeant les serveurs cibles.

• La tunnellisation DNS : exploite les autorisations de trafic DNS pour contourner les pare-feu de l'entreprise. Ces attaques utilisent le trafic DNS pour transporter les données entre le logiciel malveillant et le serveur de données contrôlé par l'attaquant.

L'impact des attaques DNS

La variété importante au sein du paysage des attaques DNS entraîne également une variété de conséquences. Quelles que soient les circonstances, ces conséquences sont souvent graves.

Les attaques DDoS DNS — telles que celles qui exploitent la faille tsuNAME mentionnée plus haut — peuvent entraîner des performances médiocres ou un temps d'arrêt pur et simple pour l'ensemble des applications Web. Le DNS est une première étape cruciale dans la capacité d'un site Web à se charger rapidement et de telles attaques mobilisent des ressources du serveur qui pourraient être utilisées à la gestion de requêtes légitimes. En 2020, 42 % des entreprises ayant essuyé une attaque DNS ont indiqué que leur site Web a été compromis d'une manière ou d'une autre.

Même les attaques non conçues pour affecter les services DNS, comme les attaques d'amplification DDoS du DNS ou la tunnellisation DNS, peuvent créer de gros volumes de trafic sur les serveurs DNS. Ces performances médiocres entraînent des conséquences secondaires multiples, notamment une baisse des taux de conversion, des classements de recherche organique inférieurs et bien plus encore.

Les attaques d'usurpation, de détournement et d'empoisonnement du cache peuvent également affecter les conversions d'un site Web en détournant les clients potentiels du site légitime. De plus, le fait que le site d'une entreprise soit considéré comme étant mal sécurisé peut porter atteinte à la réputation de la marque de cette entreprise sur le long terme.

Les attaques DNS peuvent également avoir de graves conséquences sur la sécurité réseau d'une entreprise. Les vulnérabilités cités plus haut ayant affecté certains fournisseurs DNS gérés ont entraîné l'exposition de trafic privé à des attaquants, ce qui représente un problème de sécurité majeur. Les attaques de tunnellisation DNS qui installent et contrôlent des logiciels malveillants sur un réseau peuvent avoir diverses conséquences, notamment la perte de données et des demandes de rançons.

Globalement, le coût moyen par attaque DNS en 2020 a dépassé 900 000 USD.

Atténuer la menace des attaques DNS

En prenant un certain nombre de mesures, les entreprises peuvent atténuer les attaques DNS. En tête de liste : mettre en oeuvre certaines solutions de sécurité DNS. Le rapport de l'IDC a révélé que 42 % des entreprises n'ont pas déployé de solutions de sécurité DNS dédiées.

La protection contre ces attaques nécessite des solutions de sécurité DNS. Cependant, ces solutions doivent être soigneusement conçues et mises en œuvre pour s'assurer qu'elles n'affectent pas les performances des requêtes DNS légitimes.

Voici quelques options d'atténuation des attaques DNS :

• DNSSEC : DNSSEC est un protocole de sécurité qui signe les réponses provenant des serveurs DNS. Il offre une protection contre le détournement et l'usurpation du DNS en authentifiant les données retournées au client.

• Infrastructure redondante : les attaques DoS contre l'infrastructure DNS consistent souvent à envoyer au serveur DNS plus de trafic qu'il ne peut gérer. En provisionnant généreusement les serveurs et en utilisant la technique Anycast, la charge peut être équilibrée entre des serveurs multiples. Cela permet d'assurer la disponibilité si un serveur est surchargé ou tombe en panne.

• Pare-feu DNS : un pare-feu DNS se situe entre le serveur de noms principal d'un domaine et les résolveurs récursifs des utilisateurs. Le pare-feu peut limiter les requêtes afin d'offrir une protection contre les attaques DDoS ou filtrer le trafic pour bloquer les requêtes malveillantes ou suspectes.

• DNS chiffré : par défaut, le DNS est un protocole non chiffré et non authentifié. Le DNS sur HTTPS (DoH) et le DNS sur TLS (DoT) offrent des fonctions de chiffrement et d'authentification.

Sécuriser le DNS avec Cloudflare

Cloudflare aide des millions de clients à atténuer le spectre complet de menaces DNS. Le DNS géré par Cloudflare offre un DNSSEC en un seul clic pour offrir une protection contre les attaques d'usurpation et de détournement DNS. Il s'appuie sur la capacité réseau totale de 100 Tbps de Cloudflare — bien plus grande que la plus importante attaque DDoS DNS jamais enregistrée. Il bloque ainsi les attaques DDoS en plus des autres types d'attaque.

Le réseau Cloudflare est alimenté par une veille des menaces basée sur des millions de sites Web, d'API et de réseaux, qui lui permet de rester toujours en avance sur les dernières vulnérabilités, et ce de façon automatique.

Ces dispositifs de sécurisation opèrent sans aucun compromis sur les performances. Cloudflare exploite le DNS principal le plus rapide du monde, avec un temps de résolution moyen de 11 ms. Vous pouvez même conserver votre infrastructure DNS existante tout en utilisant la solution Cloudflare comme fournisseur de service DNS secondaire ou au sein d'une configuration principale cachée.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Points clés

Cet article vous permettra de comprendre les points suivants :

• L'importance de la sécurité DNS

• Les récentes vulnérabilités DNS et leurs conséquences

• Comment identifier les attaques DNS courantes

• Comment améliorer la sécurité DNS
  

Ressources associées

• Livre blanc : Améliorer les performances et la fiabilité de la sécurité DNS

• Qu'est-ce que le DNS ?

• DNS Cloudflare