Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Alerte de la NSA sur le DNS sur HTTPS (DoH) et le risque de cyberattaques : réaction d’Infoblox

janvier 2021 par Infoblox

En juin dernier l’agence nationale de la sécurité américaine, la NSA, avait présenté un programme pilote d’un DNS « sécurisé » s’adressant aux fournisseurs/sous-traitants de la défense américaine en vue d’améliorer la cybersécurité de ces derniers.

Anne Neuberger, directrice de la NSA expliquait que cette initiative résultait d’une analyse ayant mis en évidence que l’utilisation d’un DNS sécurisé réduirait de 92 % la capacité des attaques des logiciels malveillants utilisant des serveurs de commande et contrôle.

Dans la continuité de ce projet, la NSA vient de publier une alerte au sujet du protocole DoH [Domain Name System (DNS) over Hypertext Transfer Protocol over Transport Layer Security (HTTPS)].

Cette mesure vise à accroître la confidentialité et la sécurité en utilisant le protocole HTTPS pour crypter les données entre le client DoH et le résolveur DNS basé au DoH.

Dans cette alerte, la NSA prévient que le DoH peut être utilisé abusivement par des attaquants, s’il n’est pas correctement déployé dans les entreprises. Par conséquent, pour les réseaux des entreprises, la NSA recommande de n’utiliser que des résolveurs DNS désignés - soit un serveur DNS de l’entreprise, soit un service hébergé en externe.

La réaction de Clément Marcelot, Solution Architect chez Infoblox, spécialiste de la gestion des réseaux :

« Le DNS sur HTTPS (DoH) et le DNS sur TLS (DoT) ont été conçus pour garantir la confidentialité des utilisateurs grand public sur Internet. Il n’a pas été conçu pour servir les environnements informatiques des entreprises, car la confidentialité des transferts de données n’y est généralement pas une priorité. La plupart des entreprises doivent être en mesure de surveiller le trafic qui circule sur le réseau à des fins de sécurité. Elles chercheront donc généralement à bloquer le DoH et le DoT. Certaines techniques simples peuvent d’ailleurs être utilisées à cette fin. Si pour une raison ou une autre, elles décident de les mettre à l’œuvre ou les autoriser, le DoT doit dans ce cas être préféré au DoH. Le DoT fonctionne au niveau du système d’exploitation, ce qui peut garantir un comportement et un contrôle identiques pour toutes les applications et tous les services exécutés sur le terminal, tandis que le DoH fonctionne au niveau applicatif, ce qui signifie que chaque application (y compris les logiciels malveillants) pourrait avoir un comportement DoH différent. Et bien sûr, dans les deux cas, les entreprises doivent utiliser des résolveurs DoH/DoT fiables (et de préférence internes). Certains malwares utilisent déjà le DoH comme un mécanisme de commande et de contrôle. La raison en est que certains services DoH n’exercent pas un contrôle strict sur leur utilisation, par exemple ils n’imposent pas systématiquement l’utilisation du champ MIME, que certains pare-feu tentent d’utiliser pour bloquer le trafic indésirable du DoH. »




Voir les articles précédents

    

Voir les articles suivants