Posté le avril 18, 2019 à 20:17
LES SERVICES D’HÉBERGEMENT DNS CIBLÉS PAR DES HACKERS LORS D’UNE ATTAQUE À L’ÉCHELLE MONDIALE.
Lorsqu’un utilisateur normal est infecté par un logiciel malveillant modifiant ses paramètres DNS, cela peut poser problème. Un attaque de type DNS Changer peut diriger les utilisateurs vers une adresse IP différente de celle utilisée normalement lors de la saisie d’un nom de domaine particulier. Cela s’est produit depuis les débuts d’internet, comme les récents piratages de routeur D-Link qui ont duré trois mois avant que quiconque sache ce qui se passait.
Cette fois-ci, ça va très loin
La division de sécurité Talos de Cisco a suivi les attaques contre les compagnies qui utilisent les services DNS. Parmi ces fournisseurs d’accès Internet et hébergeurs Web, une société appelée Netnod a été violée. La société suédoise est l’un des 13 plus grands opérateurs de DNS du monde et est une actrice majeure de l’Internet. Par conséquent, toute modification apportée à leurs enregistrements DNS peut potentiellement toucher des millions de personnes. Ces personnes n’auraient absolument aucune protection contre ce type d’attaque.
L’utilisateur taperait un nom de domaine à la maison, le navigateur interrogerait le serveur DNS pour connaître l’adresse IP du domaine, qui le redirigerait ensuite. Au niveau local, changer l’endroit où un utilisateur recherche les adresses IP sur son routeur est une chose. Mais ceci est complètement différent. Il n’y a pas vraiment de moyen de vous protéger de ce type d’attaque.
Pourquoi est-ce si effrayante pour tous les acteurs du secteur de la cybersécurité? C’est assez simple en fait. C’est une violation non seulement d’une compagnie, mais aussi d’une des technologies fondamentales qui propulse Internet. Cela pourrait ébranler la confiance dans le système. C’est une chose d’être responsable de son propre matériel, et d’être piraté en est une autre. Cela ne concerne que vous et peut-être quelques amis qui n’étaient pas assez sages pour ignorer le message étrangement rédigé que vous avez envoyé dans Messenger. C’est un ordre de grandeur plus grave, car quiconque, sans que ce soit de leur faute, serait en danger. Cela voudrait dire que même les personnes qui prennent un peu plus de soin que d’habitude pour rester en sécurité sur Internet pourraient être piéger. Cela pourrait provoquer une grande panique.
Ce type d’attaque et la quantité d’accès des hackers aux serveurs DNS sont effrayants, selon un rapport de Cisco Talo. En fait, ils ont dit dans le même rapport que tout gouvernement responsable éviterait de s’attaquer à une technologie fondamentale qui sert de support à Internet.
Il y a de « bonnes » nouvelles, bien qu’elles soient douces-amères
Le rapport a montré un niveau inquiétant d’organisations violées. Quarante organismes différents couvrant 13 pays différents ont été compromis et les attaques continuent. Ceci nécessite un groupe hautement qualifié et selon Cisco Talo, il est trèès probable qu’il s’agit d’un groupe soutenu par le gouvernement.
La lueur d’espoir qui se cache derrière l’énorme nuage qui plane sur Internet est que le groupe de hacker n’a pas ciblé le marché de masse. Ils semblent concentrer toutes leurs attaques sur les membres du personnel des services de renseignements et des agences militaires du Moyen-Orient et de l’Afrique du Nord.
On craint toutefois qu’ils ne trafiquent trop le système DNS. Étant donné que la majorité des logiciels de sécurité, en particulier les logiciels domestiques, ne sont pas conçus pour protéger contre une telle attaque, cela signifie qu’un plus grand nombre de personnes sera exposé à un risque plus grand que jamais. En raison des craintes, Cisco Talo a exhorté les gouvernements à agir immédiatement et à commencer à établir des normes pour protéger les enregistrements DNS.
Les méthodes utilisées pour violer les compagnies qui contrôlent le «répertoire téléphonique d’Internet» sont les escroqueries d’hameçonnage et les petites failles qui minent les logiciels populaires et fréquemment utilisés. Ils sont ensuite en mesure d’obtenir les identifiants de connexion des employés, ce qui leur donne accès aux enregistrements DNS. Les enregistrements DNS ont été détournés pendant un certain temps. Cela dépend de qui est ciblé et de l’échelle du ciblage — quelques minutes à quelques jours pour un enregistrement donné.
Les sites auxquels les utilisateurs peu méfiants étaient dirigés avaient même des certificats logiciels correctement signés pour afficher le cadenas SSL dans le navigateur. L’usurpation ou spoofing était impeccable. Cisco Talo a refusé de pointer du doigt le gouvernement qui, selon eux, est à l’origine de ces attaques, mais les autres spécialistes de la cybersécurité n’ont pas fait preuve d’autant de tact. Beaucoup dans le domaine de la cybersécurité sont certains que le groupe responsable de ces attaques est financé par l’Iran, qui fait de plus en plus la manchette ces derniers temps.
