L'ICANN, l'organisme qui gère au niveau mondial les noms de domaines, a lancé une alerte peu commune le 21 février sur une cyberattaque qui vise un des fondements d'Internet : les noms de domaines ou plus particulièrement, la traduction du nom du site que vous tapez dans votre navigateur vers l'adresse dite IP du serveur qui l'héberge, adresse IP qui est compréhensible par votre ordinateur et l'infrastructure réseau.

S'il est possible de tromper les serveurs qui font cette traduction, appelé serveurs DNS, les utilisateurs sont alors dirigés vers d'autres serveurs web qui contrefont ceux auxquels ils voulaient accéder. Les utilisateurs ainsi abusés vont y introduire leurs logins et mots de passe qui seront enregistrés par les pirates. Ces pirates se voient cependant confrontés à une autre mesure de protection : le protocole SSL/TLS, s'il est activé, force le serveur web en question à s'authentifier auprès de votre navigateur. Ainsi si les pirates vous redirigent vers leur faux site web sans avoir pu contrefaire le certificat d'authenticité du site original que vous vouliez visiter, le navigateur refuse (ou devrait refuser) la connexion.

L'attaque, qui fait peur à l'ICANN, a réussi à contourner cette double défense. La liste des sites qui ont pu être victimes de ce piratage subtil interpelle. On y trouve des sites webmail du gouvernement chypriote, du ministère des Affaires étrangères des Émirats arabes unis, du ministère des Finances du Liban. Des serveurs mails du ministère des Affaires étrangères égyptien, du bureau de l'aviation civile du Koweït, du ministère du Pétrole égyptien et celui d'une compagnie aérienne ont aussi été visés. Des sites web du ministère de la défense égyptien, des services secrets d'Albanie et de Jordanie, l'accès  à distance au réseau informatique de la police d'Abu Dhabi terminent cette liste non exhaustive. Le trafic vers tous ces sites a pu être redirigé vers des serveurs contrôlés par les pirates. Les pays de ces sites sont très ciblés : Albanie, Chypre, l'Égypte, l'Iraq, la Jordanie, le Koweït, le Liban, la Libye , l'Arabie Saoudite, et les Émirats arabes unis. Il n'en a pas fallu plus pour mettre en cause l'Iran.

Un protocole si fondamental et si vulnérable

Ce protocole DNS, qui donne l'adresse IP du serveur qui héberge le site que vous voulez visiter, ne prévoit pas la mise en place d'un d 'une connexion « continue » (connexion dite TCP)  entre votre navigateur et le serveur DNS qui va répondre à votre requête. Rien n'empêche alors un tiers de se substituer au serveur DNS et de livrer une autre adresse avant que le serveur DNS original ne livre la sienne. Les pirates connaissent parfaitement les modalités du protocole DNS et arrivent à se substituer au serveur DNS sans que le navigateur n'y voie rien.

Le protocole DNSSEC, hélas encore trop peu répandu, permet de prévenir ces attaques en introduisant de l'aléatoire dans les requêtes de traduction des noms de domaines : seuls le demandeur (votre navigateur) et le serveur DNS connaissent cet aléatoire sur lequel ils s'entendent dès le départ ; si le pirate ne connait cette dose d'aléatoire, il sera démasqué et son attaque échouera.

DNSSEC introduit une sécurité que la couche réseau n'arrive pas à garantir. Non seulement les entrées du serveur DNS y sont chiffrées (elles lui  ont été communiquées comme telles) mais elles possèdent de plus un certificat d'authenticité (sur base d'une signature digitale). Toute adresse IP qui serait substituée à l'adresse IP originale signée correspondant à un nom de site donné ne pourra donc pas être authentifiée, et le serveur DNS bloquera la requête.

Ceci dit, sans protocole DNSSEC, il reste malgré tout l'éventuelle protection mise en place par SSL/TLS (avec ses adresses commençant par https) qui chiffre les informations échangées entre votre navigateur et le site web que vous visitez (cette protection est indispensable si vous êtes invité à y introduire votre login et votre mot de passe, par exemple). SSL/TLS garantit que le site www.microsoft.com (par exemple) est bien celui de Microsoft. Si les pirates n'ont pas le certificat SSL/TLS de www.microsoft.com, il ne leur est pas possible d'afficher le site contrefait microsoft.com sans que votre browser ne vous avertisse qu'il ne s'agit pas du  bon site. Malheureusement, tous les navigateurs n'affichent pas une telle alerte avec toute la clarté requise. Combien de fois acceptons-nous de nous rendre sur un site web dont on vous dit que le certificat a expiré, n'a pas été renouvelé ou est incorrect... ? SSL/TLS peut aussi être activé pour accéder à votre serveur mail depuis votre ordinateur portable ou votre smartphone. Mieux vaut, en effet, de pas envoyer à un pirate votre login et votre mot de passe permettant l'accès à vos emails ...

Pirater le protocole DNS et contourner la défense SSL/TLS !

Le piratage a été mis en évidence en vérifiant vers quels serveurs web pointaient les noms de sites web officiels de plusieurs pays du Moyen Orient repris ci-dessus. Alors qu'ils n'avaient pas changé depuis des années, subitement ces dernières semaines ces sites web pointaient désormais temporairement (de quelques heures à quelques jours) vers des serveurs hébergés en Allemagne.

Deux gestionnaires de serveurs DNS ont été attaqués, l'un en Suède, l'autre en Californie. L'un et l'autre contrôlent un très grand nombre de noms de domaines (des serveurs racines de noms de domaines). Le gestionnaire suédois a d'abord vu la partie de son système sans DNSSEC attaquée, ce qui a permis plus facilement aux pirates de réaliser des modifications dans les tables de relation entre les noms des sites web et les adresses IP des serveurs correspondants. Pour ce faire, ils ont pu utiliser, peut-on penser, un login et un mot de passe volé auprès d'un service d'enregistrement de noms de domaines ; ce sont eux en effet qui annoncent les changements dans les noms de domaines, les nouveaux noms de domaines enregistrés, les modifications et les transferts. Le gestionnaire suédois a expliqué que ses clients, du Moyen Orient en l'occurrence, n'implémentent pas tous DNSSEC même si lui le fait pour sa propre infrastructure.

Mais les pirates ont aussi réussi à compromettre la partie DNSSEC, et c'est toujours via le service d'enregistrement de noms de domaines  qu'ils y sont parvenus... Depuis celui-ci, ils ont réussi à arrêter le protocole DNSSEC pendant un temps pour écouter les communications sur le réseau et de collecter les mots de passe des utilisateurs envoyés pour accéder à leurs emails et pour se connecter à distance au réseau de leurs entreprises. L'idée était sans doute de pouvoir accéder aux mails des officiels des pays imapctés. Là où ils n'ont pas pu (ou oublié d') interrompre le protocole DNSSEC, les employés ont vu cette sécurité bien fonctionner : le service email fut interrompu sans que cela n'inquiète les utilisateurs). On a aussi pu mettre en évidence que les pirates ont réussi à obtenir de nouveaux certificats pour les sites web qu'il avait redirigés vers leurs serveurs.

L'extrême sophistication de l'attaque met en émoi la communauté cyber : le protocole DNSSEC a été contourné par une accumulation de faiblesses organisationnelles périphériques : des certificats d'authenticité donnés un peu complaisamment, des services d'enregistrement de noms de domaines trop peu regardants sur la manière d'authentifier leurs agents, peu de précautions prises par ces derniers lors des demandes de modification d'un serveur qui héberge un site web ou un service mail. La leçon est toujours la même : lorsqu'un protocole semble sûr (DNSSEC), les pirates cherchent alors à profiter des faiblesses organisationnelles et des négligences humaines. Pour les 80% du web non encore protégé par DNSSEC, c'est encore plus simple. L'ICANN a raison de sortir de sa réserve.

__

Pour en savoir plus :

• A Deep Dive on the Recent Widespread DNS Hijacking Attacks, Brian Krebs, Feb18 2019
• Call for Full DNSSEC Deployment, Promotes Community Collaboration to Protect the Internet, ICANN, 21 feb 2019