La crise géopolitique qui secoue l’Europe pousse légitimement les responsables sécurité et les gestionnaires de noms de domaine des entreprises à s’interroger sur les éventuelles répercussions du conflit au regard de leurs activités en ligne. Quelles dispositions convient-il d’adopter pour renforcer ses défenses sur Internet ? Les réponses d’EBRAND avec Vincent Cisel, expert en sécurité DNS et directeur des nouvelles technologies au sein du groupe EBRAND/EURODNS.
Le conflit entre la Russie et l’Ukraine voit naître une certaine inquiétude quant à ses effets dans le cyberespace. Alertes et rumeurs se confondent sur la toile, faisant émerger deux risques essentiels : vagues de cyberattaques et black-out total ou partiel de l’Internet européen ou russe, que faut-il réellement craindre ? Pour le moment aucune cybermenace n’a été détectée, souligne l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Pour autant, il convient de rester vigilant et de prendre toutes mesures de sécurité propres à garantir le maintien de l’activité des entreprises françaises sur Internet.
Pour répondre à ces questions, nous avons interrogé Vincent Cisel, expert en DNS et directeur des nouvelles technologies au sein de EBRAND/EURODNS.
Une coupure de la liaison Internet entre l’Europe et les États-Unis est-elle possible ? Et si oui, quel en serait l’impact pour le système DNS mondial ?
Risque de coupure pour les services hébergés aux États-Unis
Le système DNS étant décentralisé et mondial, il devrait par nature être résilient à certaines coupures. Par ailleurs, la présence des serveurs DNS sur le sol européen les rend théoriquement indépendants des États-Unis. Les requêtes faites à partir de l’Europe sont donc résolues par les DNS les plus proches. Par conséquent, l’impact d’une coupure Internet entre l’Union européenne et les États-Unis devrait être minime pour les services hébergés en Europe. Le principal risque est d’être coupé des services hébergés aux États-Unis, le temps que de nouvelles routes soient déclarées. En effet, dans le cas d’un scénario extrême comprenant la coupure de câbles sous-marins, les conséquences seraient bien réelles pour bon nombre de services qui utilisent un hébergeur cloud dépendant des USA ou autres, car celui-ci serait in fine coupé. En tant qu’utilisateurs, que cela soit sur nos téléphones mobiles ou sur nos ordinateurs, on serait tous impactés.
La sécurité offerte par le réseau 100 % Anycast EBRAND
Les services gérés par EBRAND sont dans leur grande majorité hébergés en Europe. Les impacts d’une telle coupure devraient donc être d’autant plus limités que les serveurs de noms faisant autorité sont basés sur un réseau 100 % Anycast qui assure une résolution DNS localisée et au plus près de nos clients. Sa topologie et sa répartition géographique assurent en effet une bonne fiabilité en termes de résilience. En cas de coupure persistante, on pourrait constater des latences ou une impossibilité de réaliser la mise à jour de certaines données Whois auprès de registres basés outre-Atlantique. Nous pourrions par exemple rencontrer des difficultés pour changer les serveurs DNS dédiés à un nom de domaine. Le scénario ne s’est jamais produit et n’a donc jamais été testé à grande échelle mais, le cas échéant, nous pourrons compter sur nos partenaires et nos équipes internationales basées à différents endroits du globe.
Quelles préconisations techniques pouvez-vous faire afin de renforcer la protection des activités numériques des entreprises françaises ?
Principe du système DNS
Le système de noms de domaine, dit DNS (Domain Name System), permet de « traduire » l’adresse IP, grâce à laquelle sont identifiées toutes les machines connectées à Internet, en une adresse alphanumérique plus facile à retenir. Chaque adresse IP (Internet Protocol) étant unique, chaque nom de domaine est lui aussi unique et la correspondance de l’un à l’autre peut s’établir dans les deux sens grâce à la « résolution DNS ». Celle-ci s’effectue à l’intérieur d’un serveur dédié à cette fonction, dit serveur DNS. Le DNS est donc le premier point de contact entre les utilisateurs finaux et leurs services en ligne.
Protégez-vous des cyberattaques en sécurisant votre DNS
Sans une architecture DNS adaptée, le système est vulnérable. Il convient donc de suivre ces recommandations de base et de s’assurer que votre hébergeur DNS les respecte :
- Utiliser un ensemble d’au moins 3 serveurs DNS faisant autorité, séparés géographiquement (centres de données différents) et répartis sur des blocs d’adresses et des extensions distinctes (TLDs).
- Privilégier l’utilisation de DNS Anycast pour maximiser la disponibilité de vos noms de domaine à l’échelle mondiale, grâce à un réseau distribué de points de présence.
- Vérifier que vos serveurs DNS sont compatibles IPv4 et IPv6, afin d’assurer qu’ils répondent systématiquement sur les deux interfaces (IPv4 / IPv6) et ainsi éviter toute perte de trafic.
- Surveiller les réponses fournies par vos serveurs de noms afin de détecter rapidement les pertes de connectivité ou les délais dans la synchronisation des zones.
Anycast ou Anycast-DNS+ : des solutions EBRAND parfaitement adaptées
Si vous utilisez les serveurs EBRAND par exemple, vous bénéficiez de fait du service Anycast DNS. Anycast est une technique d’adressage et de routage permettant de rediriger les données vers le serveur informatique le « plus proche » et/ou le « plus efficace ». Cette architecture dispose ainsi de 30 PoPs (points de présence) répartis sur 5 continents, ce qui atténue les attaques DDoS (déni de service) et permet de router le trafic vers le serveur le plus efficace en cas de défaillance. Ainsi, les réponses DNS sont plus rapides à travers le monde et une panne géographique n’occasionnera pas d’interruption de service même si un léger temps de latence peut être constaté. Pour les domaines les plus critiques, je recommande en complément la mise en place de l’option Anycast-DNS+, qui offre une meilleure résilience en multipliant les fournisseurs DNS.
Activez le DNSSEC : un indispensable pour votre cybersécurité
Je recommande aussi la mise en place du DNSSEC afin de permettre la validation de l’intégrité des réponses DNS, via la chaîne de confiance, par les résolveurs.
N’exposez pas d’adresses IP privées
Il convient également d’éviter la publication d’adresses IP privées dans vos zones DNS publiques. L’exposition d’adresses IP privées peut rendre votre organisation vulnérable à une collecte d’informations à des fins de cartographie de l’infrastructure privée.
Examinez régulièrement le contenu des zones DNS
J’incite les administrateurs système à examiner régulièrement le contenu des zones DNS afin d’en supprimer les entrées obsolètes, et ainsi prévenir les attaques de reprise de sous-domaines (Subdomain takeover). Dans le Cloud et les hébergements en ligne, les adresses IPs (et CNAME) sont systématiquement réattribuées après l’expiration des services. Dans ce contexte, un attaquant peut profiter d’un enregistrement pointé sur une IP qui n’est plus attribuée pour prendre le contrôle du contenu servi.
Configurez les enregistrements DNS : DMARC, SPF-ALL et NULL MX
Il convient de vérifier également la configuration et la propagation de vos zones à l’aide d’outils spécialisés afin de valider les paramètres techniques de vos serveurs de noms et de votre zone (Zone Check). Pour les domaines non exploités dans votre portefeuille (pas d’email, pas de site, pas d’application…), configurer les enregistrements DMARC, SPF-ALL, NULL MX.
Pour la messagerie, il est nécessaire de :
- Configurer des enregistrements DMARC ET SPF pour indiquer aux serveurs mails de rejeter et de faire remonter les phishings émanant d’utilisateurs non autorisés ;
- Configurer un ENREGISTREMENT DKIM pour protéger le contenu de vos emails contre toute altération frauduleuse.
Que conseillez-vous aux responsables sécurité pour anticiper les vagues de cyberattaques qui menacent les entreprises françaises ?
Pour ce qui concerne les noms de domaine, il faut se concentrer sur les signaux de pré attaques, tels que la création de domaines et sous-domaines frauduleux (notamment ceux qui visent à tromper les utilisateurs par l’emploi de caractères homoglyphes), et/ou changements affectant ceux-ci. Cela implique trois actions fondamentales :
- Revoir l’ensemble des variations possibles du nom de domaine sur lequel est basée l’activité de l’entreprise (mail, site Web, applications…). Quelques dépôts défensifs seront probablement nécessaires pour limiter certains risques critiques.
- Activer une surveillance 24h/24 et 7j/7 des noms de domaine basée sur la stratégie de variation que vous avez déterminée. Je rappelle que c’est la rapidité de détection qui permet d’anticiper une attaque par phishing.
- Automatiser un processus de sécurité visant à blacklister de votre système d’information tout nom de domaine suspect détecté par la surveillance. Ce dispositif offre un gain de temps considérable aux responsables sécurité des entreprises (inutile d’analyser de longs rapports de surveillance pour agir rapidement).
En complément, je recommande de lancer un processus d’audit interne afin d’élever encore davantage le niveau de sécurité de votre entreprise.
CONSEIL D’EXPERT
Au-delà de ces recommandations techniques énoncées par Vincent Cisel, nous vous conseillons en outre de renforcer les accès à la plateforme de gestion des noms de domaine :
- Activer L’AUTHENTIFICATION À DEUX FACTEURS qui permet de sécuriser une connexion au compte via un mot de passe en le complétant par un code unique généré sur votre smartphone ;
- Activer le VERROU DE NIVEAU REGISTRE (Registry Lock) pour vos noms de domaine vitaux (mails, sites web, sites e-commerce) ;
- Organiser la gestion des accès de vos équipes aux noms de domaine critiques de votre portefeuille en utilisant VALIDATION À 4 OU 6 YEUX pour autoriser tout changement ;
- Mettre en place une POLITIQUE D’APPLICATION DES MOTS DE PASSE RENFORCÉE (option disponible sur la plateforme, dans mon compte>sécurité). Tous les trois mois, le changement du mot de passe de l’ensemble des comptes permet d’éviter l’utilisation d’anciens mots de passe peu sûrs ;
- Limiter l’accès de votre compte aux ADRESSES IP AUTORISÉES de votre réseau (option disponible sur la plateforme, dans mon compte>sécurité).
Par Raphaël TESSIER, Vincent CISEL et Sophie AUDOUSSET pour EBRAND France.