201903.04

Cyber-attaques sur le DNS : où en sommes-nous dans le déploiement du DNSSEC ?


Ces dernières semaines, plusieurs entités ont fait état d’une recrudescence d’actes de malveillance coordonnés à l’encontre de l’infrastructure du système de nommage Internet (Domain Name System, ou « DNS »), la colonne vertébrale de l’Internet. Les attaques en cours soulèvent l’inquiétude quant à leur persistance, leur ampleur, et l’utilisation concomitante de plusieurs méthodes.

Le 10 janvier 2019, sur la base de rapports émis par des entreprises spécialisées dans la cybersécurité, le National Cybersecurity and Communications Integration Center (NCCIC), qui est une branche de la Cybersecurity and Infrastructure Security Agency (CISA), a signalé qu’une attaque contre le DNS était en coursLe mardi 22 janvier, la CISA, établie en 2015,a publié sa toute première directive d’urgence, Emergency Directive 19-01. Pour contrer ou limiter les effets des actes de malveillance des DNSespions, cette directive demande aux agences fédérales américaines d’adopter, sans délai, une série de mesures visant à répondre à une campagne mondiale de détournement du DNS : conduire des audits ; changer les mots de passe des noms de domaine .GOV, adopter une authentification multifactorielle ; vérifier les certificats de transparence. La CISA demande également à toutes les agences fédérales de lui soumettre des rapports d’incidents à dates fixes.

À l’origine, le DNS a été conçu en ne tenant pas compte des insidieux problèmes de sécurité qui pouvaient se poser. Il en résulte des vulnérabilités, intrinsèques au DNS, qui favorisent des attaques de différents types. Il est légitime de craindre, en particulier, des attaques de type :

  • “Attaque de l’homme du milieu” (Man in the Middle Attack) ou “Attaque de l’intercepteur” ;
  • cache poisoning ; ou encore
  • déni de service.

En conséquence, les titulaires de noms de domaine peuvent être confrontés à des détourements de traffic, des soustractions frauduleuses de noms de domaine (domain name hijacking) ou encore du phishing. Quant aux internautes, ils sont également exposés à des ingérences criminelles puisqu’ils encourent le risque d’être redirigés vers des sites frauduleux, souvent bâtis de manière à soustraire leurs données (mots de passe, adresses e-mail, identifiants bancaires, etc.), par exemple en distribuant des logiciels malveillants.

La menace en cours est telle que, le 15 février 2019, l’Internet Corporation for Assigned Names and Numbers (ICANN) a invité l’ensemble des acteurs du nommage (registres, registraires et autres) à la plus grande vigilance. L’ICANN est l’institution internationale, tentaculaire, dont la vocation est de maintenir la sécurité, la stabilité et l’interopérabilité de l’Internet. Autrement dit, l’ICANN est l’organe de gouvernance du système de nommage qui structure l’Internet. En tête des précautions de sécurité à adopter d’urgence, l’ICANN exhorte les registres et les registraires à déployer la technologie DNSSECDomain Name System Security Extensions »). Quant aux premiers concernés, les titulaires de noms de domaine, il leur est vivement conseillé de migrer vers des bureaux d’enregistrement de noms de domaine qui offrent le protocole DNSSEC. Pour l’ICANN, ces mesures doivent être prises dans l’immédiat.

Le protocole DNSSEC, qui a été standardisée par l’Internet Engineering Task Force (IETF), permet de palier, pour une grande part mais pas à 100%, les vulnérabilités du DNS. La technologie DNSSEC consiste en un processus de validation (appelé “DNSSEC Signed”) aux niveaux de la racine (gérée par l’ICANN), de l’extension (gérée par le registre) et du nom de domaine (géré par le bureau d’enregistrement). Au bout du compte, ce processus génère une chaîne d’authentification. La chaîne de confiance qui en résulte améliore grandement la sécurité des données et, corrélativement, réduit significativement les risques d’actes de malveillance. Par extension, on dit d’un registre ou d’un registraire qu’il est signélorsqu’il s’est agrémenté de la technologie DNSSEC. Une adoption du DNSSEC à grande échelle peut sensiblement améliorer la robustesse du DNS.

Cependant, le déploiement du DNSSEC demeure relativement faible, ce malgré les efforts considérables et permanents de l’ICANN Security and Stability Advisory Committee (SSAC), du Registry Internet Safety Group (RISG), des Computer Emergency Response Teams (CERTs) et de l’Internet Society Deploy360, autant d’organes qui en font la promotion, notamment à travers des campagnes de sensibilisation et de formation.

Au niveau des domaines de second niveau (SLD), chacun s’accorde pour affirmer qu’il est très difficile d’obtenir des statistiques qui établiraient, de manière fiable, le pourcentage de noms de domaine sécurisés par le protocole DNSSEC (v. not. ISOC, State of DNSSEC Deployment 2016, Dec. 2016, p. 17). Il faut retenir que tous les bureaux d’enregistrements ne sont pas dotés de la technologie DNSSEC. À ce jour, le SSAC recommande de ne pas divulguer les noms des bureaux d’enregistrement qui ne fournissent pas le DNSSEC de manière systématique. Cependant, le SSAC n’exclut pas cette possibilité pour le futur :

We do not, at this time, recommend whether registrars’ names be published or not” (ICANN, Advisory from the ICANN Security and Stability Advisory Committee, SAC074, 3 Nov. 2015, Recommendation 1, p. 4).

Dans une étude incontournable parue en 2017, un groupe de chercheurs mené par Taejoong Chung est arrivé à la conclusion selon laquelle « la prise en charge de DNSSEC [était] assez faible parmi les bureaux d’enregistrement les plus populaires » (T. Chung et al., 2017. Understanding the Role of Registrars in DNSSEC Deployment. In Proceedings of IMC ’17, London, United Kingdom, November 1–3, 2017, 14 pages, see para. Summary 5.3).


Chez IP Twins, la sécurité de nos clients est notre principale préoccupation.


À ce jour, le contrat liant l’ICANN aux bureaux d’enregistrement de noms de domaine (2013 Registrar Accreditation Agreement, “2013 RAA”) n’imposent pas à ces derniers de se munir du protocole DNSSEC. À tout le moins, l’article 3.20 les oblige à notifier l’ICANN de tout incident de sécurité. Cependant, il résulte de l’annexe au 2013 RAA intitulé “Additional Registrar Operation Specification” qu’un bureau d’enregistrement doit autoriser ses clients à utiliser DNSSEC sur simple demande.

Au niveau des TLDs, depuis 2012, l’ICANN oblige tous les registres de gTLDs à intégrer le protocole DNSSEC. Cette obligation ne s’applique pas aux gTLDs créés avant 2012, mais hormis le .AERO, il n’existe pas de gTLD qui ne soit pas sécurisé par la technologie DNSSEC. En réalité, ce sont les ccTLDs qui suscitent l’inquiétude. En effet, nombreux sont les registres de ccTLDs qui n’ont pas encore adopté le protocole DNSSEC. Deux principales raisons peuvent expliquer ce retard : la complexité de la technologie et son coût. Selon l’ICANN, 1398 des 1532 extensions sont signées, ce dont il résulte que 134 ne le sont pas (soit près de 50% des ccTDs), parmi lesquelles les suivantes:

TLDCountry or Territory
ALAlbania
.الجزائرAlgeria
AOAngola
BSBahamas
BHBahrain
BDBangladesh
  বাংলাBangladesh
BJBenin
BOBolivia
BABosnia and Herzegovina
BNBrunei
BFBurkina Faso
BIBurundi
KHCambodia
CMCameroon
CVCape Verde
CFCentral African Republic
TDChad
KMComoros
CGCongo
CICote d'Ivoire
CUCuba
CYCyprus
CDDemocratic Republic of the Congo
DJDjibouti
DMDominican Republic
ECEcuador
EGEgypt
SVEl Salvador
GQEquatorial Guinea
EREritrea
FJFiji
GAGabon
GMGambia
GEGeorgia
გეGeorgia
GHGhana
GTGuatemala
GGGuernsey
GYGuyana
HTHaiti
VAHoly See (vatican City State)
IRIran, Islamic Republic of
ایرانIran, Islamic Republic of
IQIraq
عراقIraq
IM Isle of Man
JMJamaica
JEJersey
JOJordan
الاردنJordan
KZKazakhstan
ҚАЗKazakhstan
KWKuwait
LSLesotho
LYLybia
澳門Macao
MOMacao
MKMacedonia
МКДMacedonia
MWMalawi
MVMaldives
MLMali
MTMalta
MHMarshall Islands
MRMauritania
موريتانياMauritania
MUMauritius
MCMonaco
المغربMorocco
MZMozambique
NPNepal
NINicaragua
NENiger
NGNigeria
KPNorth Korea
PKPakistan
PSPalestine, State of
فلسطينPalestine, State of
PAPanama
PGPapua New Guinea
PYParaguay
PHPhilippines
QAQatar
قطرQatar
MDRepublic of Moldova
RWRwanda
SMSan Marino
السعوديةSaudi Arabia
СРБSerbia
RS Serbia
SKSlovakia
SOSomalia
SDSudan
سودانSudan
SRSuriname
SZSwaziland
SYSyrian Arab Republic
سوريةSyrian Arab Republic
TKTajikistan
TGTogo
TRTurkey
УКРUkraine
AEUnited Arab Emirates
اماراتUnited Arab Emirates
UZUzbekistan
VEVenezuela, Bolivarian Republic Of
VIVirgin Islands
YEYemen
ZWZimbabwe

Source : ICANN.ORG — http://stats.research.icann.org/dns/tld_report/

On remarque que les extensions non-signées sont, à l’exception de quelques unes, des ccTLDs d’États bénéficiant de ressources limitées. L’absence de mise en œuvre de la technologie DNSSEC résulterait donc principalement d’un manque de moyens financiers. Malgré tout, des programmes sont en cours, comme en atteste la carte de l’Internet Society Deploy360 (qui est mise à jour de manière périodique) :


Source : ISOC Deploy360, https://www.internetsociety.org/deploy360/dnssec/maps/


Cependant, il faut ajouter que de nombreux fournisseurs d’accès à l’Internet ont recours au Google’s Public DNS service (PDNS). Comme Google PDNS prend en charge la validation DNSSEC, les utilisateurs ont de facto accès à la validation DNSSEC (v. not. ISOC, State of DNSSEC Deployment 2016, Dec. 2016, p. 8). Or c’est notamment le cas dans certains pays d’Afrique.

Enfin, nous ne pourrions pas terminer cette série de statistiques sans faire référence aux données de l’Asia Pacific Network Information Centre (APNIC) qui prennent en considération « le nombre relatif d’internautes dans chaque pays qui ont été observés comme effectuant une validation DNSSEC lors de la résolution de noms de domaine » (Geoff Huston, « Some Internet Measurements », labs.apnic.net, 24 Jul. 2014). Les résultats de l’APNIC nous enseignent qu’au niveau mondial, il existe moins de 20% de validations DNSSEC.


Source : APINC Labs — https://stats.labs.apnic.net/dnssec


Il reste la question de l’incitation. Sur ce point, une étude a démontré que des mécanismes financiers, accompagnés d’une assistance technique, peuvent encourager des bureaux d’enregistrement à signer des noms de domaine (T. Chung et al., 2017. Understanding the Role of Registrars in DNSSEC Deployment. In Proceedings of IMC ’17, London, United Kingdom, November 1–3, 2017, 14 pages, see para. Summary 6.3). À l’échelle globale, des mécanismes d’incitation de nature financière mériteraient d’être mis en œuvre à tous les niveaux de la gouvernance Internet.

Toutes ces questions seront probablement abordées lors de la prochaine réunion publique de l’ICANN64 à Kobe au Japon, du 9 au 14 mars 2019. IP Twins y sera !

À propos d'IP Twins

IP Twins est un bureau d’enregistrement de noms de domaine accrédité par l’ICANN avec 15 ans d’expérience dans la stratégie et la gestion des noms de domaine.

Nous délivrons des certificats de sécurité parfaitement adaptés à vos besoins pour garantir la sécurité des visiteurs de votre site Internet.

IP Twins offre aussi des services de surveillance et de lutte contre la contrefaçon et le cybersquatting. Nous représentons les titulaires de marques dans les procédures UDRP. Notre logiciel de surveillance Detective identifie les contrefaçons en ligne. Nous collectons les preuves et pouvons procéder à la suppression des listes sur des centaines de plateformes de marché, de réseaux sociaux et sur le web en général.

Nous disposons également d’une équipe d’investigation présente en Chine.

N’hésitez pas à nous contacter.