Au cours des derniers mois, le Groupe d’étude technique chargé des initiatives de renforcement de la sécurité du système des noms de domaine (DSFI-TSG) a bien avancé dans ses travaux en discutant des failles et des campagnes d’attaques antérieures qui ont soit utilisé soit directement impacté le système des noms de domaine (DNS). L'objectif principal de cette enquête était de dresser une liste de tous les vecteurs d’attaque utilisés afin d’en apprendre davantage sur les potentiels dénominateurs communs. Parmi les questions posées, on se demande si certains vecteurs d’attaque sont utilisés plus fréquemment que d’autres et quels vecteurs d’attaque ont le plus d’impact sur la sécurité de l’écosystème du DNS.
Bien que cette liste n’inclue pas tous les vecteurs d’attaque ayant fait l’objet de discussions, on peut citer :
- L’atteinte à l’intégrité des informations d’identification des titulaires de noms de domaine
- L’atteinte à l’intégrité des informations d’identification des bureaux d’enregistrement/revendeurs
- L’atteinte à l’intégrité des informations d’identification des registres
- Un contrôle de l’accès inadéquat
- Des réseaux tiers non sécurisés
- L’usurpation de l’identité d’un serveur de noms faisant autorité
- L’usurpation de l’identité d’un résolveur récursif
- L’utilisation du DNS en tant que canal caché
- L’utilisation du DNS en tant qu’exfiltration de données
- Le déni de service
- L’empoisonnement du cache DNS
De nombreuses campagnes malveillantes ont recours à une multitude de vecteurs d’attaque. Alors que le DSFI-TSG continue d’examiner chaque vecteur d’attaque, il se penche également sur des questions liées aux éventuelles techniques d’atténuation. Plus précisément, nous étudions les techniques d’atténuation existant pour chaque vecteur d’attaque, nous tâchons de voir s'il existe des lacunes techniques, opérationnelles ou liées aux processus dans le déploiement des techniques d’atténuation, et nous identifions les domaines dans lesquels des techniques d’atténuation n’existent pas.
Cette partie des travaux se poursuivant, le but est maintenant de commencer à apporter des réponses aux questions 1, 2 et 4 des questions clés de la charte du DSFI-TSG :
1. Quels mécanismes ou fonctions actuellement disponibles permettent de garantir la sécurité du DNS ?
2. Pouvons-nous identifier les principales lacunes actuelles en matière de sécurité du DNS ?
a) Quelles sont les exigences techniques requises afin de pallier ces lacunes ?
b) Quelles meilleures pratiques opérationnelles doivent être définies, modifiées, encouragées ou mises en œuvre afin de pallier les lacunes ?
c) Quels sont les obstacles au déploiement de meilleures pratiques et autres mesures techniques ?
4. Quels sont les risques associés à ces lacunes qui ne sont peut-être pas très bien compris ?
a) Quels sont les points à prendre en compte en termes de risque ?
b) À quel niveau se situent les manques de connaissances sur les modèles de menace auxquels l’écosystème du DNS est exposé ?
c) De quels facteurs externes les individus doivent-ils avoir connaissance ?
Les membres du DSFI-TSG et le personnel du soutien de l’organisation ICANN ont bien conscience de la difficulté actuelle de mener des travaux sans réunions en face à face. Le groupe mène ses travaux via des réunions d’une heure organisées toutes les deux semaines, avec en plus des ateliers en ligne de trois heures une fois par mois. Vous pouvez suivre nos travaux sur notre page web. Je souhaite remercier toutes les personnes ayant contribué au DSFI-TSG et le personnel de soutien de l’organisation ICANN pour leur engagement continu à l’égard de ces travaux.
