Cinq questions pour comprendre « l’attaque inédite » sur Internet

Contrairement au buzz médiatique de ce week-end, les récentes attaques sur les noms de domaine ne sont ni récentes, ni innovantes. Elles sont peut-être d’une ampleur inédite, mais restent quand même très, très ciblées.

Depuis ce week-end, la découverte d’une « vague d’attaques informatiques d’une ampleur inédite » fait le buzz sur les médias. 01net.com fait le point sur cette information.

De quoi parle-t-on exactement ?

Tout part en fait de l’Icann, une autorité de régulation de l’Internet qui s’occupe, entre autres, de l’administration des noms de domaine de premier niveau et de la coordination des acteurs techniques. Dans un communiqué, cette organisation mentionne des attaques sur le système DNS (Domain Name System) qui permet de traduire un nom de domaine en adresse IP. C’est une brique essentielle dans le fonctionnement d’Internet. Sans le DNS, il faudrait jongler sans cesse avec des adresses IP, ce qui est infaisable.

Les attaques auxquelles l’Icann fait référence sont des détournements de requêtes DNS. Elles permettent d’usurper l’identité d’un site ou d’un service web et, par conséquent, de piéger l’internaute en lui faisant croire qu’il est connecté sur le bon site. Au final, cette arnaque permet de voler des données confidentielles comme des mots de passe ou des courriels. C’est donc une bonne technique d’espionnage.

En revanche, il est incorrect de parler d’une « attaque sur l’Icann ». Le DNS est un système décentralisé et hiérarchique qui implique beaucoup d’acteurs dans le monde entier, et en particulier les bureaux d’enregistrement de noms de domaine. Pour réaliser une attaque par détournement DNS, il suffit par exemple de pirater l’un de ces bureaux d’enregistrement et de modifier les données techniques pour le site visé au niveau des serveurs de noms. Pour les mêmes raisons précitées, il est incorrect de parler d’un « annuaire central de l’Internet », comme l’a fait Mounir Mahjoubi, secrétaire d’Etat au numérique, sur CNews.

Ce type d’attaques, est-il nouveau ?

Non, les attaques par détournement DNS existent depuis des années. C’est l’une des grandes faiblesses connues de l’Internet. En 2013, les hackers du groupe Syrian Electronic Army avaient déjà fait des actions similaires. Ils ont piraté le bureau d’enregistrement Melbourne IT et détourné les requêtes DNS du New York Times et de Twitter, comme le rappelle l’ingénieur réseau Stéphane Bortzmeyer dans une note de blog. Selon lui, il n’y aucune innovation particulière dans ces attaques récentes. Les attaquants « n'ont trouvé aucune faille de sécurité nouvelle, ils n'ont pas réalisé une percée technologique ».

Ces attaques, sont-elles récentes et d’une ampleur inédite ?

Non, ces attaques ne sont pas récentes. L’Icann fait référence à un article de KrebsOnSecurity, qui s’appuie lui-même sur les analyses des chercheurs en sécurité de Cisco Talos, FireEye et CrowdStrike. Toutes ces attaques se sont étalées entre février 2017 et janvier 2019. Selon l’AFP, les pirates ciblent aussi bien des services de renseignements ou de police, des compagnies aériennes ou l’industrie pétrolière. Les attaques se sont déroulées un peu partout, mais surtout au Moyen-Orient et en Europe.

Selon David Conrad, un des responsables de l’Icann, cette vague d’attaques serait toutefois « inédite à très grande échelle ». « Il y a déjà eu des attaques ciblées mais jamais comme ça », a-t-il expliqué auprès de l’AFP. En janvier, les experts de FireEye avaient par ailleurs estimé que ces attaques « visaient des victimes dans le monde entier à une échelle sans précédent, avec un haut degré de succès ». CrowdStrike, pour sa part, a trouvé 28 victimes dans 12 pays différents. L’ampleur de ces attaques est peut-être inédite, mais elle reste quand même assez faible au regard des autres types d’attaques informatiques, comme les e-mails piégés par exemple. Elles sont probablement utilisées dans un contexte très ciblé.

Qui se cache derrière ces attaques ?

C’est difficile à dire. Les experts de FireEye pensent qu’il s’agit d’un ou plusieurs groupes de pirates pilotés par le gouvernement iranien. Les experts de Crowdstrike, à l’inverse, estiment qu’il n’y a pas assez de données techniques pour formuler une hypothèse d’attribution.

Et DNSSEC, c’est quoi ?

C’est un DNS sécurisé. Cette technologie a été développée à la suite de la méga-faille DNS découverte par le chercheur Dan Kaminsky en 2008, qui aurait pu permettre des détournements DNS à très grande échelle. DNSSEC permet de signer les données d’enregistrement DNS de manière cryptographique, ce qui permet donc de vérifier leur intégrité et de considérablement réduire le risque d’un détournement. C’est pourquoi l’Icann plaide pour un déploiement général de DNSSEC. Malheureusement, ce type de déploiement prend toujours énormément de temps…