17 février 2016
Commentaires : 0

Protégez vos DNS !

Fin janvier, pendant le FIC 2016, les personnes présentes ont pu assister à une démonstration technique pendant laquelle des données ont été exfiltrées via un DNS (Domain Name System) pas assez protégé.


Il faut dire qu’avec une hausse de plus de 200 % des attaques via le protocole DNS, il devient plus que temps de sécuriser ce service souvent oublié par des entreprises se sentant protégées à travers les différents pare-feu, anti-spam, sandboxing (environnements séparés), IDS (Intrusion Detection System), etc. alors que ces solutions ne couvrent pas le DNS.


Or bien plus qu’un simple élément de votre réseau, le DNS, vieux de plus de trente ans (et donc peu adapté aux menaces actuelles), est la clé de voûte de votre communication électronique (VoIP, internet, e-mail). Et parce que trop souvent oublié, ce protocole est devenu la backdoor préférée des pirates et autres cybercriminels en ce qui concerne les attaques sur le long terme (car peu détectables).


En effet, en créant des canaux de communication avec leur serveur à distance, les tiers malveillants peuvent récupérer de petits volumes de données mais avec peu de risques d’être repérés et donc la possibilité d’agir sur une grande période de temps, rendant l’intrusion extrêmement dommageable.


De sucroit, les attaques de DNS sont impliquées dans les cas de phishing ou de « points d’eau » (« watering hole », site vérolé fréquemment visité par les employés) et jouent un rôle crucial dans le déroulement d’une attaque de type APT (Advanced Persistent Threat), l’épée de Damoclès vacillant au-dessus de tout système d’entreprise.


Ainsi, la plupart des malwares commencent par établir un canal à travers le DNS pour télécharger à distance le code APT, bien plus dangereux que le malware initial. Lorsque tous les systèmes de sécurité sont désactivés, l’extraction de données commence, mais afin de maximiser le transfert, mieux vaut ne pas avoir de serveurs intermédiaires


La meilleure solution ? Contacter directement le serveur final à travers le DNS (à nouveau). Le hacking de Home Depot en 2014, avec à la clé une fuite de dizaines de millions de numéros de cartes de crédit a été au final et après enquête attribué à l’utilisation frauduleuse du DNS… Pourtant à l’heure actuelle, très peu d’actions correctives ont été entreprises


Alors comment vous protéger ? Vous pouvez déjà mettre en place des processus pour analyser les flux entrants et sortants au niveau du DNS, afin de repérer l’inhabituel (requêtes identiques répétées, etc.), mais la solution la plus sûre reste l’installation d’un firewall DNS par exemple, permettant de bloquer toute tentative d’intrusion à la source, avant que l’APT n’ait pu se télécharger, et de repérer bien mieux que n’importe quel firewall standard la source et l’infrastructure réseau derrière une attaque.


N’hésitez pas à contacter notre pôle Sécurité qui saura vous aiguiller et vous accompagner dans la sécurisation de vos données et de votre business, et ce à tous les niveaux.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *