Dans ce contexte, le système de noms de domaine (DNS) est souvent sous-estimé, alors qu’il est essentiel pour bloquer une attaque qui est en train de se dérouler, mais aussi pour se protéger contre celles qui n’ont pas encore commencé. Utilisé aussi bien par les multinationales que par les particuliers, le DNS joue un rôle central dans la sécurité numérique, au point que de plus en plus de gouvernements à travers le monde envisagent de fournir une protection DNS à leurs citoyens.
En quoi le DNS est-il si important ?
Le DNS est souvent comparé à l’annuaire téléphonique d’internet, voire aux Pages Jaunes pour les plus âgés. Pourtant, il joue un rôle bien plus complexe. Chaque nouveau nom de domaine est stocké dans le DNS. Lorsqu'un domaine est configuré pour héberger un nouveau site web, ou bien configuré pour envoyer des mails, ces changements sont faits au niveau du DNS. Ces informations évoluent au fil du temps et y sont constammentmises à jour.
Tout cela se déroule sans que la majorité des utilisateurs ne s’en aperçoivent. Les acteurs malveillants prospèrent lorsqu’ils parviennent à rester dans l’ombre, mais leurs actions laissent des traces dans le DNS. Bien qu’ils essayent de se cacher, ils sont obligés d’utiliser le DNS pour le bon déroulement de leurs attaques. En réalité, cinq des sept étapes de la Cyber Kill Chain impliquent directement le DNS. Les empreintes DNS des attaquants sont détectables, si l'on sait où chercher.
Une protection renforcée grâce au DNS
Dans le domaine de la cybersécurité, de nombreux outils comme NGFW, XDR, EDR ou SASE sont utilisés pour sécuriser les organisations et leurs données. Ces outils sont essentiels, mais ils s’appuient sur une détection et réponse aux incidents de sécurité une fois qu'une attaque ait déjà infecté des systèmes informatiques. La plupart de ces outils se concentrent principalement sur la détection des logiciels malveillants, ce qui nécessite leur identification et analyse préalable pour une défense efficace. Or, le paysage des menaces évolue constamment, ce qui implique que ces outils détectent ces nouvelles menaces avec un train de retard. À l'inverse, le DNS se distingue en permettant d'arrêter les attaques avant même qu'elles aient commencé, ce qui complète ainsi efficacement les autressolutions de sécurité.
Dans sa forme la plus simple, le DNS peut être utilisé pour empêcher la résolution du nom de domaine d'un site web malveillant en adresse IP. Si l'ordinateur d'un utilisateur ne parvient pas à obtenir cette adresse IP, il ne peut pas y télécharger de logiciel malveillant, ou bien y envoyer des informations sensibles, comme les données de carte de crédit. Même si c’est surtout ce que l'utilisateur en perçoit, le DNS joue un rôle bien plus crucial et puissant que le simple blocage de domaines nuisibles. Il peut être utilisé de manière proactive pour détecter les domaines suspects avant qu'ils ne deviennent actifs et qu'ils n'apparaissent sur un réseau lors d'une attaque.
Lorsqu'un acteur malveillant enregistre un nouveau nom de domaine, celui-ci devient visible dans le DNS. En sachant ce qu’il faut chercher, il est possible de repérer des enregistrements de domaines suspects. Par exemple, les informations de contact peuvent être identiques à celles d'autres domaines connus pour être malveillants, ou le nom de domaine lui-même peut sembler anormal. Si l'adresse IP d'un domaine malveillant change, il est possible de vérifier si cette adresse a déjà été utilisée à des fins malveillantes. Bien que ces événements ne soient pas forcément suspects individuellement, leur combinaison peut révéler un schéma déjà observé dans d'autres attaques. Contrairement à d'autres outils, il n'est pas nécessaire d'analyser les logiciels malveillants ou de détecter le domaine lors d'une attaque. Cette détection peut s'effectuer dès la préparation du domaine, avant même le lancement de l'attaque (voir schéma 1).
Les recherches basées sur le DNS ne se limitent pas à identifier quelques domaines isolés, mais permettent de détecter des ensembles de domaines suspects associés. En creusant l’analyse d’un élément suspect, des schémas regroupant des milliers de domaines
peuvent se révéler.
Les mêmes outils et services qui aident les entreprises à fonctionner à grande échelle facilitent aussi les opérations des acteurs malveillants. Et désormais, une véritable industrie et chaîne d'approvisionnement cybercriminelle d’infrastructure et de noms de domaines a émergé, avec des fournisseurs spécialisés sur le sujet, permettant aux cybercriminels d'externaliser ces opérations pour mieux se concentrer sur leurs attaques.
Le DNS est essentiel pour tous
Bien que les acteurs malveillants tentent constamment de nouvelles tactiques, certaines restent efficaces et sont donc utilisées contre tout le monde. Que cela soit des personnes qui se connectent au Wi-Fi d'un café, ou les employés de grandes entreprises, tous sont exposés aux mêmes attaques et tentatives de phishing. Heureusement, le DNS intervient dans ces attaques et peut aussi servir à les bloquer. Qu'il s'agisse d'un service DNS de protection pour un ordinateur personnel ou d'une solution professionnelle pour une entreprise, chacun peut utiliser le DNS pour sécuriser son environnement en ligne.Par Laurent Rousseau, Solutions Architect Manager Europe du Sud d'Infoblox
