Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Domaines malveillants : d’où vient la menace ?

mai 2016 par Rod Rasmussen, Vice President CyberSecurity chez Infoblox

On a tous vu un film d’horreur où la victime se rend compte que les appels téléphoniques menaçants qu’elle reçoit proviennent de sa propre maison. Le plus effrayant c’est qu’un scénario similaire se déroule aujourd’hui sur Internet, lorsque les domaines malveillants et les infrastructures DNS utilisés par les cybercriminels se trouvent à proximité de leurs victimes.

Où se trouvent les principaux foyers de cybercriminalité ?

Alors que les idées reçues pourraient laisser penser que la plupart des domaines malveillants à travers le monde sont hébergés dans des foyers de cybercriminalité tels que l’Europe de l’Est, l’Asie du Sud-Est ou l’Afrique, rien n’est moins vrai. Selon l’analyse d’Infoblox, les infrastructures DNS (système de noms de domaines) sous-jacentes exploitées pour le lancement de la majorité des dernières vagues de cyberattaques se nichent au cœur de premières économies mondiales, notamment aux Etats-Unis.

Dans le baromètre Infoblox des menaces DNS pour le quatrième trimestre 2015, nos chercheurs ont constaté que 92 % des nouvelles infrastructures DNS malveillantes observées au cours du trimestre étaient hébergées soit aux Etats-Unis (72 %) ou en Allemagne (19 %). Aucun autre pays ne collectait plus de 2 %.

Il est à noter que ces informations géographiques n’indiquent pas où se trouvent les cybercriminels, car les kits d’exploitation de vulnérabilités et autres malwares peuvent être développés dans un pays, vendus dans un autre et utilisés dans un troisième pour le lancement d’attaques via des systèmes hébergés dans un quatrième ; ce qui explique en partie pourquoi la cybercriminalité est si difficile à éradiquer.

La localisation géographique n’est pas un gage de protection contre la cybercriminalité

Cependant, cette liste peut concerner les pays et prestataires de services ayant également tendance à faire preuve de laxisme en matière de réglementation, de surveillance, de prévention et/ou de ressources consacrées à la neutralisation des menaces. L’identification de ces pays et prestataires contribue donc à éclairer les améliorations pouvant être apportées. Ainsi, quels enseignements peuvent être tirés du fait que les infrastructures servant à lancer des attaques soient confortablement installées dans certains des pays les plus développés ?
Tout d’abord, la localisation géographique n’est pas un gage de protection : l’hébergement d’un domaine aux Etats-Unis ou en Allemagne ne le rend pas aussi sûr qu’on pourrait le supposer. Ensuite, les criminels sont tout aussi susceptibles qu’une entreprise légitime de tirer parti des robustes infrastructures technologiques et de services existant dans ces pays. De plus, il serait difficile de renforcer ces infrastructures contre une exploitation malveillante sans limiter la vitesse et la réactivité qui les rendent attractives pour les entreprises.

Enfin, l’utilisation croissante d’hôtes malveillants configurés sous des noms de domaines légitimes dont les comptes administrateurs ont été piratés illustre comment diverses organisations de malfaiteurs se liguent pour créer toujours plus d’infrastructures criminelles. Ces hôtes usurpent la réputation d’un nom de domaine établi de longue date et ne peuvent pas être bloqués au niveau du domaine sans dommages collatéraux. Cela les rend beaucoup plus difficiles à neutraliser, d’où la nécessité pour les défenseurs du réseau de faire preuve de davantage de précision.

De la responsabilité des hébergeurs réseaux

Il serait rassurant, à tout le moins, que les hébergeurs ne tardent pas à fermer un domaine malveillant une fois identifié, limitant ainsi les dégâts. Après tout, les prestataires américains ne sont pas confrontés à la barrière de la langue, à des questions de juridiction transfrontalière, de différences de réglementation,…, comme le sont les tentatives de fermeture au niveau international. Malheureusement, les hébergeurs américains – grands ou petits – sont souvent très lents à réagir car ils sont submergés de plaintes et de travail, et pourtant, s’il existe un axe d’amélioration majeur, c’est bien celui-ci.

Ces observations font partie des nombreuses statistiques révélatrices dévoilées dans le baromètre Infoblox des menaces DNS. Celui-ci mesure la création d’infrastructures DNS malveillantes, qu’il s’agisse de l’enregistrement de nouveaux domaines ou du piratage de domaines ou d’hôtes légitimes existants. Il révèle notamment qu’au cours du quatrième trimestre 2015, l’indice a augmenté de 49 % par rapport au quatrième trimestre 2015, traduisant une progression significative du nombre de domaines malveillants en un an.


Voir les articles précédents

    

Voir les articles suivants