Tous hacktivistes

Risques d’attaques contre le DNS d’Internet : la fin d’Internet et le retour des pigeons voyageurs ?

Rassurez-vous, le retour au pigeon voyageur attendra encore un peu… Saigneurdeguerre/Flickr, CC BY-NC-SA

À partir du 22 février 2019, un vent de panique s’est mis à souffler sur le réseau. En France, à la lecture des titres de la presse en ligne, c’était à se demander si Internet allait survivre à cette nouvelle cyberattaque mondiale. Et chacun de surenchérir à grand renfort de titres alarmistes sur la plus grande offensive jamais mise en œuvre : La dépêche de l’Agence France Presse (AFP) annonçait la couleur : « Un gendarme Internet prévient d’une attaque de grande ampleur » (dépêche originelle à ce jour introuvable… errare internetum est !).

« Internet et ses noms de domaine sous le coup d’une attaque inédite » titrait de son côté Ouest-France. Le 25 février 2019, le secrétaire d’État auprès du ministre de l’Économie et des finances et du ministre de l’Action et des comptes publics, chargé du numérique, Mounir Mahjoubi, confirmait qu’une cyberattaque mondiale « très rare » s’était produite.

La dramatisation – selon l’émetteur qui brandit le chaos – peut servir de multiples desseins. Cela peut être une simple extrapolation malheureuse, du sensationnalisme visant à faire de l’audience, préparer une opinion publique à de nouvelles lois, etc. Il ne s’agit pas de préjuger de l’intention ou non des outrances constatées ici et là, mais de remettre les choses en perspective.

Si la peur n’évite pas le danger, elle n’empêche visiblement pas non plus d’exagérer !

Cependant, à force de crier au loup – parce qu’un loup qui peut être repoussé est réellement aux portes des sites web – il serait grand temps que les acteurs concernés entendent les cris d’alerte.

Dans le tweet de l’Icann (Internet Corporation for Assigned Names and Numbers) du 22 février, la société à but non lucratif, dont la mission principale consiste à réguler l’adressage IP et les noms de domaines utilisés sur le web évoquait « an ongoing and significant risk to the Internet ». Cela se traduit de façon littérale par « un risque permanent et important ». Risque que l’Icann appelait d’urgence à juguler. Ce tweet pointait vers un communiqué intitulé :

L’Icann appelle à un déploiement complet des DNSSEC et à promouvoir la collaboration de la communauté pour protéger l’Internet.

L’Icann agissait dans le cadre de sa mission « Garantir un Internet mondial sûr, stable et unifié ». Le régulateur mentionnait des faits préexistants et mettait en garde contre la vulnérabilité actuelle du réseau qui s’exposait à une attaque à grande échelle de détournement de domain name system (DNS, que l’on peut traduire en « système de noms de domaine »).

Lors d’un détournement de DNS (ou DNS hijacking en anglais) : l’utilisateur pense se rendre sur un site, mais est redirigé soit vers un site frauduleux distinct, soit vers la copie conforme du site souhaité. Ces sites comportant des dispositifs de collecte d’informations personnelles que saisira alors l’usager dupé.

L’Icann alerte du « risque permanent et important » qui pèse sur le web. 360b/Shutterstock

Dans son communiqué, l’Icann, dans un contexte d’augmentation constatée du nombre de rapports d’activité malveillants ciblant l’infrastructure DNS, tenait à réaffirmer ses préconisations pour sécuriser Internet. L’Icann appelait (une nouvelle fois) à un « déploiement complet des extensions DNSSEC (domain name system security extensions) sur tous les noms de domaine non sécurisés ».

Le DNSSEC est un protocole standardisé par l’Internet Engineering Task Force (IETF) permettant de résoudre certains problèmes de sécurité liés au protocole DNS. Pour ce qui est de l’attaque de type « DNSpionnage » (tentatives de remplacer les adresses numériques des serveurs utilisés dans l’adressage par les adresses de serveurs contrôlés par les initiateurs de l’attaque) à l’origine de l’émoi médiatique, le CERT-OMPD notait dès le 26 février :

« Contrairement à ce que certains médias ont écrit, les différentes attaques étaient ciblées, et limitées aux entités ciblées ».

Ce ne seront pas les seuls experts de la cybersécurité à remettre en cause – au regard des éléments à disposition – les propos extrapolant une attaque massive mettant en péril Internet.

Dans son communiqué, l’Icann rappelait en outre qu’il avait d’ores et déjà proposé le 15 février 2019 « une liste de contrôle des précautions de sécurité recommandées pour les membres de l’industrie des noms de domaine à prendre de manière proactive pour protéger leurs systèmes, les systèmes de leurs clients et les informations accessibles à travers le DNS : les registres, les registraires, les revendeurs et autres personnes apparentées ».

« Si le sourd n’a pas entendu le tonnerre, il verra bien la pluie » (Proverbe malinké)

Dans le communiqué de l’Icann, la cyberattaque n’était en rien décrite comme inédite. Elle n’était nullement présentée comme généralisée. L’Icann en profitait pour infliger une sérieuse piqûre de rappel quant à l’impérieuse nécessité d’une approche proactive et d’une cyber-résilience mondiale des acteurs concernés. Une invitation, pour ne pas dire un rappel à l’ordre pour faire le nécessaire là où il est possible de repousser les attaques…

L’Icann le reconnaît, le déploiement complet des extensions DNSSEC ne résoudra naturellement pas tous les problèmes de sécurité. Mais en alertant une nouvelle fois sur le risque encouru, l’organisation admonestait – d’une certaine façon – les acteurs qui ne participent toujours pas à la résolution de problèmes pouvant aujourd’hui être technologiquement résolus. Des acteurs qui devraient s’atteler à la tâche au plus tôt au regard de la montée en puissance de ce type d’attaques. L’approche de l’Icann peut être entendu comme le proverbe malinké : « si le sourd n’a pas entendu le tonnerre, il verra bien la pluie ».

DNS, DNSSEC, pour faire si ce n’est simple tout du moins… au moins compliqué

Pour faire le plus simple possible, comme le rappel le communiqué, « certaines des attaques, – dont il est fait état dans les rapports publics – ciblent le DNS, dans lequel des modifications non autorisées sont apportées à la structure de délégation des noms de domaine, remplaçant les adresses des serveurs prévus par des adresses de machines contrôlées par les attaquants ». L’Icann rappelle que « ce type d’attaque, qui cible le DNS, ne fonctionne que lorsque DNSSEC n’est pas utilisé ».

Le DNSSEC est une technologie développée pour protéger contre de tels changements. Elle ne résout pas toutes les formes d’attaques perpétrées contre le DNS. En revanche, lorsqu’elle est utilisée, une modification non autorisée des informations DNS peut être détectée et les utilisateurs ne peuvent pas être « détournés ».

Quant à ce type d’attaques – nonobstant des intentions de détournement DNS à des fins financières orchestrées par des Black Hat (hackers mal intentionnés) – est-il vraiment nécessaire de préciser que c’est un sport national que pratiquent tous les gouvernements et que c’est le quotidien d’Internet ?

« À bon entendeur ! »

« À bon entendeur » aurait tout aussi bien pu être le titre du communiqué de l’Icann. La société aura réussi à rappeler, et peut-être même au-delà de ses espérances pour ce qui concerne la France :

  • Que la cyber-résilience est l’affaire de toutes et tous. Que les plus concernés, les plus aptes à agir, seraient bien inspirés de faire le nécessaire.

  • Que si certains acteurs en première ligne n’utilisent pas les technologies existantes à même d’éradiquer certaines formes d’attaques, ils ne pourront pas prétendre ne pas avoir été prévenus !

Alors oui, face à la désinvolture de certains acteurs mettant sciemment en danger l’usager, une attaque à grande échelle de détournement de DNS ne relève pas en l’état de l’impensable. Voilà ce que tenait à rappeler l’Icann. À chacun d’en prendre conscience et d’assumer dans la situation actuelle sa part de responsabilité.

Comme le disait le cardinal brésilien Eugênio de Araújo Sales :

« Une société qui tolère le mal en devient la complice ».