Vers la fin février, un certain nombre de médias ont mentionné une campagne d’attaques visant les noms de domaine. Si le problème de sécurité derrière ces attaques est réel, les articles ne permettaient pas toujours de comprendre les enjeux. L’Afnic remet en perspective la chronologie, les impacts et des moyens de prévention. La première publication sur cette campagne d’attaques semble avoir été celle de Talos le 27 novembre 2018.
Le 9 janvier 2019, la société FireEye a publié un rapport qui a suscité un certain intérêt de la part des professionnels. Enfin, le 19 février 2019, Brian Krebs a publié un long article, détaillé et accompagné de nombreux faits précis.
De quoi s’agit-il ? La campagne d’attaques (qui semble bien être le fait d’un unique groupe) vise les noms de domaine. L’attaquant (pirate) se connecte à l’interface Web d’un Bureau d’Enregistrement (BE) ou d’un hébergeur DNS ciblé et modifie des informations techniques sur tout ou partie du portefeuille de noms de domaine de ce BE[1].
En indiquant des serveurs de noms différents des serveurs légitimes, ou en mettant des adresses IP frauduleuses, le pirate peut ainsi détourner le trafic à destination des noms de domaine compromis, vers des serveurs sous son contrôle.
Comment l’attaquant a pu ainsi se connecter aux interfaces Web, qui sont en général protégées par un mot de passe ? Nous ne le savons pas mais il existe beaucoup de techniques possibles : mots de passe trop faibles, et donc devinables facilement, être victimes d’hameçonnage par manque de sensibilisation par exemple, méthodes d’ingénierie sociale, etc. Dans certaines organisations, le nom de domaine est « le maillon faible » de la sécurité, un peu oublié par rapport à d’autres actifs.
Ce type d’attaque visant, non pas un serveur internet, mais les noms de domaine qui y mènent, est ancien : New York Times en 2013 , Météo France et Canal+ en 2016, Wikileaks en 2017… en avaient été victimes. Une des nouveautés de la campagne plus récente est qu’au moins deux acteurs importants de l’internet ont vu certains de leurs services piratés avec succès.
Ces deux acteurs gèrent une partie des serveurs de noms de .fr. La façon particulière dont ces derniers sont nommés et utilisés pour .fr fait que le .fr n’a pas été affecté. En outre, l’Afnic a vérifié, en utilisant les indicateurs de compromission publiés (adresses IP des serveurs pirates), qu’aucun nom en .fr n’a été touché, à notre connaissance et à ce stade de nos investigations.
Notons qu’une autre précaution était prise par .fr : l’utilisation de la technologie DNSSEC fait que, même en cas de compromission totale d’un ou plusieurs des serveurs faisant autorité pour .fr, l’insertion de fausses informations n’est pas possible. C’est l’occasion de rappeler l’extrême importance de déployer DNSSEC, aussi bien au niveau des résolveurs qu’à celui des serveurs faisant autorité. Toutefois, il faut noter que DNSSEC n’aurait pas empêché toutes les attaques par détournement de nom.
La sécurité repose sur la combinaison d’un certain nombre de bonnes pratiques. Nous rappelons l’importance du système FR Lock de verrouillage d’un nom de domaine contre les modifications rapides qui peuvent s’avérer suspectes ou frauduleuses. Mais, surtout, au-delà d’une technique particulière, il faut souligner l’importance des bonnes pratiques d’_hygiène numérique_ comme la gestion rigoureuse des mots de passe ou la vigilance des employés qui gèrent les noms de domaine. Et favoriser l’usage de la double authentification sur ses comptes d’accès lorsqu’elle est mise à disposition – ceci étant devenu assez commun. Que ce soit dans les usages professionnels ou dans la vie courante.
Pour des informations plus détaillées sur la sécurité des noms de domaine
- Dossier Thématique « Sécuriser la gestion des noms de domaine »
- Guide « Bonnes pratiques pour l’acquisition et l’exploitation de noms de domaine »
- Dossier Thématique ‘DNS : types d’attaques et sécurisation »
[1] Pour aller au-delà de cette présentation volontairement sommaire, nous recommandons la lecture de l’article de Brian Krebs pour les détails.
À propos de l'Afnic
L’Afnic est l’Association Française pour le Nommage Internet en Coopération. Elle est l’office d’enregistrement désigné par l’État pour la gestion des noms de domaine en .fr. L’Afnic gère également les extensions ultramarines .re (Île de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques Françaises), .wf (Wallis et Futuna) et .yt (Mayotte).
Outre la gestion des extensions françaises de l’internet, le rôle de l’Afnic s’inscrit dans une mission d’intérêt général plus large, qui consiste à contribuer au quotidien, grâce aux efforts de ses équipes et de ses membres, à un internet sûr et stable, ouvert aux innovations et où la communauté internet française joue un rôle de premier plan. Ainsi, l’Afnic, association à but non lucratif, s’engage à verser annuellement 11 % de son Chiffre d’Affaires lié aux activités du .fr à des actions d’intérêt général, en affectant notamment 1,3 million d’Euros minimum chaque année à la Fondation Afnic pour la Solidarité numérique.
L’Afnic est également l’opérateur technique de registre d’entreprises et collectivités ayant choisi d’avoir leur propre extension, telle que .paris, .bzh, .alsace, .corsica, .mma, .ovh, .leclerc ou .sncf.
Fondée en 1997 et basée à Saint-Quentin-en-Yvelines, l’Afnic compte aujourd’hui près de 90 collaborateurs.