fr

L'ICANN promeut de bonnes pratiques d'hygiène informatique pendant le mois européen de la cybersécurité

3 octobre 2022
Par Matt LarsonMatt Larson and Samaneh TajalizadehkhoobSamaneh Tajalizadehkhoob

Le mois d'octobre est le « mois européen de la cybersécurité ». Nous profitons de cet événement pour montrer de quelle manière notre organisation encourage les bonnes pratiques en matière d'hygiène informatique et contribue à rendre l'Internet plus sûr pour tous.

Dans le cadre de la mission de l'ICANN de préserver la sécurité, la stabilité et la résilience du système des noms de domaine (DNS), notre travail aborde des problèmes liés aux menaces qui pèsent sur le DNS et à l'utilisation malveillante des noms de domaine. Pour ce faire, nous proposons des formations sur des menaces visant le DNS, nous partageons des conseils d'hygiène informatique et des bonnes pratiques, et nous mettons en place des projets et des initiatives techniques. Voici quatre exemples concrets de nos efforts dans ce domaine.

Signalement des cas d'utilisation malveillante des noms de domaine (DAAR)

Il y a cinq ans, l'ICANN a développé l'outil dit DAAR afin d'identifier et d'analyser des données relatives aux menaces à la sécurité de manière anonyme et agrégée. L'outil DAAR analyse des noms de domaine répertoriés dans les listes de réputation et de blocage les plus réputées comme étant associés à des problèmes d'hameçonnage, de spam, de distribution de logiciels malveillants et de réseaux zombies afin de déterminer combien d'entre eux concernent des domaines historiques et de nouveaux domaines génériques de premier niveau. Cette analyse permet également aux utilisateurs d'identifier des tendances dans le temps.

Par exemple, les quatre années de données collectées par DAAR montrent que le nombre total de domaines représentant des menaces pour la sécurité n'a pas augmenté, alors même que l'enregistrement de domaines n'a pas cessé de croître aussi bien pour les domaines historiques que pour les nouveaux gTLD. La tendance affiche même une légère baisse lorsque l'on rapporte le nombre total de domaines présentant une menace pour la sécurité au nombre de domaines enregistrés dans chaque gTLD. À ce jour, les données du DAAR montrent qu'environ 1 % de tous les domaines enregistrés sont utilisés à des fins malveillantes.

Signalement et collecte d'information sur des menaces à la sécurité des noms de domaine (DNSTICR)

Le projet DNSTICR a démarré pendant la pandémie de COVID-19 avec l'objectif de surveiller et de combattre les activités malveillantes en ligne associées à la pandémie. Nous cherchions à collecter des preuves fiables nous permettant de faire la différence entre les domaines « suspects » et ceux qui sont manifestement malveillants. Nous voulions également fournir aux bureaux d'enregistrement des preuves pour déterminer rapidement si un domaine est effectivement malveillant et prendre les mesures appropriées.

À l'aide d'une liste de termes liés à la pandémie, DAAR surveille les nouveaux enregistrements dans plusieurs langues. Cette liste évolue au fur et à mesure que de nouveaux termes sont identifiés (par exemple : vaccins, noms de variants, etc.). Nous avons aussi ajouté des enregistrements associés à la guerre entre la Russie et l'Ukraine. Ces domaines sont ensuite examinés à partir de plusieurs sources, telles que VirusTotal et URLScan, afin d'avoir une idée plus claire de leur véritable statut. Depuis le début de 2020 jusqu'à la fin du mois d'août 2022, nous avons identifié plus de 470 000 nouveaux enregistrements associés à un ou à plusieurs termes recherchés, dont seuls environ 26 500 laissaient supposer un usage malveillant actif.

Extensions de sécurité du système des noms de domaine (DNSSEC)

Nous sommes de fervents promoteurs de DNSSEC pour améliorer la sécurité générale du DNS. Les extensions de sécurité du DNS rendent impossible l'usurpation de données DNS, éliminant ainsi les attaques par empoisonnement du cache, au cours desquelles les attaquants font en sorte que les résolveurs renvoient des données frauduleuses. Avec DNSSEC, les données du système des noms de domaine sont signées de façon cryptographique par leur propriétaire, et la signature numérique qui en résulte est envoyée chaque fois que ces données sont interrogées. Les clients DNS, appelés résolveurs, vérifient la signature pour confirmer que les données n'ont pas changé depuis que le propriétaire les a signées et qu'elles n'ont pas été modifiées en transit par un attaquant.

Dans DNSSEC, la racine du DNS est particulièrement importante, car elle contient la clé publique cryptographique la plus importante de toutes : la clé de signature de la racine. L'organisation ICANN gère avec soin cette clé. Elle doit être configurée sur tous les résolveurs effectuant la validation.

Le déploiement de DNSSEC nécessite la participation de tous les acteurs de l'écosystème du DNS, y compris les opérateurs de domaines de premier niveau, afin de permettre ces deux opérations fondamentales : la signature des données DNS et leur validation. Les titulaires de noms de domaine doivent également signer leurs données DNS, et cela n'est possible que si les fournisseurs de logiciels DNS et les fournisseurs d'hébergement DNS prennent en charge DNSSEC. Les données signées sont utiles uniquement lorsque les résolveurs DNS activent la validation DNSSEC de manière à vérifier réellement les signatures numériques.

Partage de connaissances et instauration de normes pour la sécurité du DNS et du nommage (KINDNS)

Le 6 septembre 2022, l'ICANN a lancé l'initiative KINDNS. Elle préconise de bonnes pratiques en matière de sécurité opérationnelle du DNS et encourage les opérateurs DNS à s'engager volontairement à les mettre en œuvre afin de rendre l'Internet plus sûr et plus résilient pour tous les utilisateurs.

Cette initiative est le fruit d'un travail en collaboration de l'ICANN et de la communauté technique afin de créer un mécanisme de partage de bonnes pratiques visant à mieux sécuriser les opérations du DNS. Le résultat est un cadre simple et efficace que les opérateurs DNS, grands et petits, peuvent suivre facilement et de manière volontaire. Par exemple, une bonne pratique partagée dans le cadre de l'initiative KINDNS concerne la diversité géographique et topologique des serveurs de noms de domaine (pratique KINDNS 5 des opérateurs de serveurs faisant autorité et récursifs). Un autre exemple consiste à encourager les opérateurs à activer DNSSEC, comme indiqué précédemment (pratique KINDNS 1 des opérateurs de serveurs faisant autorité et récursifs).

Comme on l'a vu, l'ICANN a développé plusieurs projets dans le cadre de ses efforts pour lutter contre les activités malveillantes en ligne et promouvoir de bonnes pratiques en matière de sécurité. Pour en savoir plus ou suivre nos initiatives de surveillance et de signalement, visitez les pages consacrées aux projets DAAR et DNSTICR sur icann.org. Pour en savoir plus sur l'hygiène informatique et les bonnes pratiques de sécurité du DNS, visitez la page de l'ICANN consacrée à DNSSEC et notre site web dédié KINDNS.

Authors

Matt Larson

Matt Larson

VP, Research
Read biographyRead biography
Samaneh Tajalizadehkhoob

Samaneh Tajalizadehkhoob

Principal Security, Stability & Resiliency Specialist
Read biographyRead biography