Cyberattaque contre l'ICANN: Fausse alerte mais vrai risque

Atlantico : Comment mesurer l'ampleur réelle de cette attaque ?

Herve Schauer : Il faut d’abord rappeler que les attaques datent pour la plupart d’octobre à décembre 2018. Il convient donc de désamorcer les articles médiatiques qui font comme si les bombes étaient en train de tomber en ce moment.

Le manque de sécurité dans l'approvisionnement du DNS n'a nullement été minoré par les experts. La campagne d'attaques du moment utilise surtout des attaques sur le système d'approvisionnement des noms de domaine. Contrairement à ce qu'on a pu lire, il n'y a pas vraiment eu d'attaques DNS, même si ces attaques ont évidemment eu des conséquences visibles dans le DNS. Ces attaques sur l'approvisionnement sont banales (New York Times en 2013), Météo France et Canal+, en 2016, Wikileaks en 2017). Leur cause fondamentale est que, dans la plupart des organisations, les noms de domaine ne font guère l'objet d'attentions de sécurité. Par exemple, alors que le serveur HTTP est protégé, le mot de passe de connexion au bureau d'enregistrement ou bien à l'hébergeur DNS est faible, et largement connu, partagé en interne, voire affiché sur un système interne de l'organisme. C'est d'autant plus vrai que, à beaucoup d'endroits, la gestion des noms de domaine est confiée à des services sans compétence opérationnelle, ni formation en sécurité comme le service communication ou le service juridique. C'est dans cette gestion que sont les problèmes, bien en amont, et pas du tout dans le DNS lui-même.

A priori le première publication semble avoir été celle de Talos le 27 novembre 2018 mais elle était très incomplète. Le 9 janvier 2019, la société FireEye a publié un rapport incomplet, mais qui documentait cette série d'attaques et qui, cette fois, a suscité pas mal d'intérêt de la part des professionnels. Le 19 février 2019, Brian Krebs a publié un long  article, détaillé, avec des faits précis : et cela a eu encore plus d'impact.

Quel serait l'intérêt d'extrapoler l'ampleur d'une telle attaque ?

L'ampleur d'une attaque déjà passée est un fait. Ce n'est pas une extrapolation. Ces attaques ne sont pas nouvelles, elles se poursuivront à l'avenir, pas besoin d'extrapoler pour le prédire. Je sais pas si elles prendront encore plus d'ampleur. La principale nouveauté des attaques dont on parle en ce moment est qu'elles ont aussi frappé, et avec succès, certains acteurs importants de l'Internet, comme Netnod et PCH. DNSSEC, souvent cité, aurait empêché "certaines" de ces attaques, ou en tout cas aurait limité leurs conséquences. L'analyse complète est complexe et Stéphane Bortzmeyer est à retrouver ici.

Pourquoi le DNSSEC n'est donc pas déployé plus largement ?

Il demeure à mes yeux consternant qu'en 2019, DNSSEC soit aussi peu déployé, aussi bien au niveau des résolveurs (par exemple, Orange, SFR et Bouygues ne valident pas) qu'à celui des serveurs faisant autorité, le seul établissement financier en France à utiliser DNSSEC semble Paypal, et que dire des serveurs de noms gouvernementaux. Attention, proposant une formation DNSSEC dans mon catalogue de formation HS2, je peux apparaitre juge et partie dans ces avis, mais je le pense sincèrement. La menace n'est pas nouvelle, elle est réelle et elle est banale