Internet est en proie à une vague d’attaques inédites du système de noms de domaine » a annoncé l’ICANN (l’organisme mondial qui attribue les adresses Internet). L’Internet mondial et ses noms de domaines sont sous le coup d’une attaque inédite par des pirates non identifiés.
L’information circule depuis de ce vendredi qu’Internet est la cible d’attaques visant à modifier des noms de domaines ou les adresses des sites Web pour les pirater. D’après 24Matins, l’ICANN, l’organisme mondial qui attribue les adresses Internet, a fait une annonce dans la journée d’hier selon laquelle l’Internet mondial et ses noms de domaines sont sous le coup d’une attaque inédite par des pirates non identifiés. L’ICANN, c’est aussi une organisation reconnue d’utilité publique rassemblant des participants du monde entier qui œuvrent à la préservation de la sécurité, la stabilité et l’interopérabilité de l’Internet.
L’ICANN a expliqué par le biais d’un de ses responsables, David Conrad, que ces pirates s’attaquent et ce, depuis un moment déjà (2017 pour les premiers constats) à l’infrastructure Internet elle-même. Autrement dit, ces pirates s’attaquent au système de noms de domaine DNS (Domain Name System) qui permet d’établir la liaison entre un ordinateur et un site Internet. On parle de DNSpionnage pour désigner ce type d’attaque. Pour l’heure, il s’agit d’une campagne inédite et à très grande échelle qui se serait extraordinairement intensifiée ces dernières semaines. Ces attaques, à en croire les précisions de l’ICANN, ciblent particulièrement certaines régions et installations rigides dans le monde.
Selon certains experts en sécurités qui ont commenté ces récentes publications de l’organisme mondial, les pirates ont pour cibles principales certains gouvernements en Europe et au Moyen-Orient, des bases de services de renseignements ou de police, des compagnies aériennes ou encore des installations pétrolières. Selon David Conrad, il y a déjà eu des attaques ciblées de ce type, mais jamais de cette envergure. Rappelons qu’en mars 2013, le bruit avait couru qu’Internet venait d’être victime de la grande attaque de son histoire dans un événement semblable à celui-ci. En effet, les assauts DDoS vers Spamhaus avaient entraîné un ralentissement du trafic mondial sur Internet.
La méthode utilisée par les cybercriminels est connue sous le nom de réflexion DNS qui consiste à envoyer des demandes usurpées aux résolveurs DNS dits ouverts (pouvant être interrogés par n’importe qui sur Internet) qui semblent provenir de l’adresse IP de la victime visée.
Les assaillants ont généralement rédigé leurs demandes afin que les réponses renvoyées à la victime par les serveurs interrogés soient très importantes. Ce type d’attaque peut être atténué par la victime ou le fournisseur, mais dans ce cas particulier et en raison de sa taille, l’attaque s’est également propagée sur le reste d’Internet en cours de route. L’attaque qui a été revendiquée par le groupe Stophaus Movement semble aujourd’hui s’être arrêtée. Le groupe a justifié son action en disant que Spamhaus abusait de sa position de force.
Parlant du mode opératoire employé par les pirates pour mettre à exécution leurs attaques, l’ICANN explique qu’il consiste à remplacer les adresses des serveurs autorisés par des adresses des machines contrôlées par les assaillants. Cela leur permet d’obtenir des milliers de données notamment des adresses mail et des mots de passes, etc. Jusqu’à présent, aucune trace n’a permis d’identifier l’origine exacte des attaquants, mais d’autres ont leurs propres théories ou leurs petites idées. D’après Ben Read, il y a des preuves qui montrent que ces attaques ciblées proviennent de l’Iran. Pour un autre expert, Adam Meyers de la firme CrowdStrike, les hackers cherchaient notamment à voler des mots de passe au Liban et aux Émirats arabes unis.
À la question de savoir quels sont les dangers pour Internet et son infrastructure, l’ICANN a répondu que les risques peuvent se montrer très délicats. Adam Meyers a dit qu’avec cet accès, les hackers pourraient décider d’arrêter le fonctionnement de certains pans d’Internet, mais pour l’instant il semblerait qu’ils se limitent juste d’intercepter les données et d’écouter les gens. Sur Reddit, certains désignent les Russes, les Coréens ou en encore les Chinois comme responsables des attaques et d’autres déplorent le fait qu’il n’y a aucun moyen pour une tierce personne de savoir si le service DNS qu’elle utilise a été compromis ou non par ce type d’attaque. D’autres commentaires également cherchent à savoir quelles sont les initiatives envisageables ou déjà mises en œuvre pour contrer ces attaques.
Avec l’intensification récente des attaques, l’ICANN estime qu’il y a un risque en cours important sur des parties importantes de l’infrastructure des noms de domaine. Ainsi donc, il appelle les responsables informatiques à prendre des mesures adéquates. Précisément, il appelle au déploiement du protocole de protection appelé “Domain Name System Security Extensions” (DNSSEC). Pour information, DNSSEC est un protocole standardisé par l’IETF permettant de résoudre certains problèmes liés au protocole DNS. Les spécifications sont publiées dans la RFC 4033 et les suivantes. Contrairement à d’autres protocoles comme SSL, il ne sécurise pas juste un canal de communication, mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu’un serveur intermédiaire est trahi.
David Conrad explique également qu’il ne s’agit pas de la seule alternative pour contrecarrer ce problème, mais pour l’heure cela constitue un début de protection. « Nous devons améliorer la sécurité globale du DNS si nous voulons avoir un espoir d’empêcher ce genre d’attaques », conclut-il. L’ICAN fait remarquer à la fin que les attaques informatiques de toute ampleur et de toute nature se multiplient avec une vitesse exponentielle depuis ces dernières années et principalement cette dernière décennie. L’enjeu est de taille et la sécurité d’Internet est remise en cause aujourd’hui plus que jamais.
Source : Developper.com