SlideShare a Scribd company logo
1 of 46
Download to read offline
Sécurité des noms de
      domaine  Stéphane Bortzmeyer
            AFNIC
      bortzmeyer@nic.fr




                                     1 / 45
Sécurité des noms de
      domaine  Stéphane Bortzmeyer
            AFNIC
      bortzmeyer@nic.fr




                                     2 / 45
Introduction

 Plan du tutoriel
    1   Introduction

    2   Résolution DNS

    3   Avitaillement

    4   Risques théoriques

    5   Réalités

    6   Solutions et recommandations

    7   Conclusion
                                       3 / 45
Introduction

 Introduction
    Nous voulons tous de la sécurité pour nos noms.

    Mais quel genre de sécurité ?

      1   Contre les pannes ?
            1   Physiques ?
            2   Logicielles ?
      2   Contre les attaques ? Menées par qui ?
            1   L’État ?
            2   Le lycéen dans son garage ?
            3   La mafia ?
      3   Contre les cafouillages administratifs ?
            1   Non-renouvellement
            2   Hijacking
                                                      4 / 45
Introduction

 SécuritéS

    Il n’y a pas la sécurité. Il y a plusieurs services de sécurité,
    parfois contradictoires :

      1   La disponibilité (le service fonctionne)
      2   L’intégrité (le service n’a pas été modifié subrepticement)
      3   La confidentialité (le service ne laisse pas fuire des
          informations)

    Disponibilité et intégrité s’entendent souvent mal.



                                                                       5 / 45
Résolution DNS

Plan du tutoriel
    1   Introduction

    2   Résolution DNS

    3   Avitaillement

    4   Risques théoriques

    5   Réalités

    6   Solutions et recommandations

    7   Conclusion
                                       6 / 45
Résolution DNS

Menaces contre la résolution DNS
    Résolution : demander aux serveurs DNS les
    informations associées à un nom de domaine (par
    exemple les adresses IP
    Il y a les serveurs résolveurs (typiquement fournis par le FAI)
    et les serveurs faisant autorité (ceux des titulaires de noms ou
    d’un hébergeur DNS).




                                                                       7 / 45
Résolution DNS

Résolution DNS, suite




                        8 / 45
Résolution DNS

Pannes matérielles
    Plein d’ennemis possibles :

        Pelleteuses (coupure de Prosodie en mai 2011)
        Femme de ménage
        Bâteau de pêche (dont l’ancre arrache les câbles)
        Écureuil (aux États-Unis, les câbles ne sont pas enterrés)




                                                                     9 / 45
Résolution DNS

Pannes logicielles
    La seconde qui tue
    Le 1er juillet 2012, une bogue Linux liée à la seconde
    intercalaire plante de nombreux serveurs. Dont tous ceux du
    NIST (bureau états-unien des mesures). Tous les serveurs de
    time.gov sont en panne.

    Quand un domaine populaire s’arrête, tous les résolveurs
    se bloquent
    Le 19 mai 2009, presque tout l’Internet chinois paralysé par
    une panne du service de résolution de noms (attaque contre
    Baofeng, mais ayant rebondi sur les opérateurs réseaux).



                                                                   10 / 45
Résolution DNS

Bogue au registre



       Le 12 octobre 2009, tous les noms de domaine suédois
       disparaissent pendant une heure.
       Le 12 mai 2010, les deux tiers des domaines allemands
       ont disparu pendant une heure et demie.




                                                               11 / 45
Résolution DNS

Attaque par déni de service

    Déni de service : attaque qui vise à empêcher le service
    de fonctionner.
    Il ne s’agit pas de prendre le contrôle du service, juste de
    l’arrêter. Par exemple, envoi d’une énorme quantité de données
    au serveur. . . qui n’arrive plus à suivre. Il ne peut plus alors
    répondre aux requêtes légitimes. Se défendre contre ces
    attaques est très difficile.




                                                                        12 / 45
Résolution DNS

Exemples d’attaques par déni de service

       Le 23 décembre 2009, un grand libraire en ligne stoppé
       par une attaque DNS réussie.
       Attaque (ratée) contre les serveurs racine de février 2007.
       Mais aussi menaces non suivies d’effet comme le 31 mars
       2012 contre la racine.
       Importante recrudescence des attaques par déni de
       service contre le DNS depuis décembre 2011. Les
       attaques sont devenues banales.




                                                                     13 / 45
Résolution DNS

dDoS


    Il y a très longtemps que les pirates n’utilisent plus uniquement
    leurs propres machines !

    Le pirate typique aujourd’hui est aux commandes d’un botnet
    (roBOT NETwork), des centaines de milliers de PC
    MS-Windows qui obéissent au doigt et à l’œil au C&C
    (Command & Control), le poste de commandement.




                                                                        14 / 45
Résolution DNS
Modification des requêtes ou réponses dans
le réseau


    Problème surtout étudié en Chine
    À l’intérieur du réseau, les réponses DNS sont modifiées
    (même si on avait demandé directement à un serveur étranger).




                                                                    15 / 45
Résolution DNS
Modification des requêtes ou réponse par le
résolveur
    Résolveurs menteurs
    Résolveurs du FAI qui donnent délibérement de fausses
    réponses. Motivation la plus courante : rediriger vers des pages
    de pub.

    Censure légale
    ARJEL en France, projets SOPA et PIPA aux États-Unis : le
    résolveur DNS a l’obligation légale de mentir
    (« www.romecasino.com n’existe pas »)



                                                                       16 / 45
Résolution DNS

Résolveur menteur, pour le Bien ?


     1   BIND a désormais un mécanisme pour le transformer en
         menteur, RPZ. Il permet en outre de distribuer les listes de
         domaines censurés via du transfert de zone.
     2   Était-ce une bonne idée de filtrer les domaines
         potentiellement utilisés par le malware Conficker ? ikea,
         arte et sncf en ont été victime. Et Conficker n’a pas été
         stoppé.




                                                                        17 / 45
Résolution DNS

Empoisonnement de cache (Kaminsky)

       Découverte en janvier 2008 par Dan Kaminsky, annoncée
       le 8 juillet 2008 puis publiée en août.
       A nécessité de patcher la plupart des résolveurs pour
       mettre des ports sources aléatoires.
       Exploite uniquement des failles connues mais avec un
       moyen de les rendre mille fois plus efficace.
       L’empoisonnement DNS était théoriquement possible, il
       devient facile.




                                                               18 / 45
Résolution DNS

Changement de résolveur
     1   Les machines font une confiance aveugle à leur résolveur
         (peu valident elles-même avec DNSSEC).
     2   Changer le résolveur permet de tout faire (le résolveur du
         méchant peut alors répondre que
         www.mabanque.example est 192.0.2.1, adresse
         contrôlée par le méchant).

    Exemple :DNS Changer
    Logiciel malveillant qui changeait les résolveurs. Le trafic était
    détourné vers des sites Web payants. Le FBI a piraté les
    résolveurs du méchant pour analyser le trafic. Le 9 juillet, ce
    détournement cesse et les « utilisateurs » de DNS Changer
    seront dans le noir.
                                                                        19 / 45
Résolution DNS

Espionnage


    Le trafic DNS nous en apprend beaucoup. . .
    Tout gérant de serveur (faisant autorité ou résolveur) peut en
    apprendre sur les utilisateurs.




                                                                     20 / 45
Résolution DNS

Attaques non techniques

       La lecture de certains journaux pourrait le faire oublier
       mais les attaques les plus courantes sont non techniques.
       Ingéniérie sociale (« j’ai oublié le nom du fichier où il avait
       le mot de passe, vous pouvez me le rappeler ? »)
       Un bon exemple est le hameçonnage « votre compte vient
       d’être crédité de 10 000 $, allez en
       http://192.0.2.1/form.php pour valider ce
       transfert »




                                                                        21 / 45
Avitaillement

 Plan du tutoriel
     1   Introduction

     2   Résolution DNS

     3   Avitaillement

     4   Risques théoriques

     5   Réalités

     6   Solutions et recommandations

     7   Conclusion
                                        22 / 45
Avitaillement

 Enregistrement des noms


    Les noms de domaine sont enregistrés auprès d’un registre,
    souvent via un Bureau d’Enregistrement (BE), et hébergés
    chez un hébergeur DNS (souvent le BE).

    Chacun de ces acteurs peut être défaillant
    Par piratage ou malhonnêteté




                                                                 23 / 45
Avitaillement

 Piratage d’un BE


    Cas de google.co.ma en 2009
    Piratage du BE (injection SQL) puis envoi des fausses données
    au registre




                                                                    24 / 45
Avitaillement

 Piratage d’un registre


    Piratage du registre .pr en 2009
    Injection SQL au registre de Porto-Rico. microsoft.com.pr,
    dell.com.pr, etc redirigés




                                                                 25 / 45
Avitaillement

 Intermédiaire piraté ou malhonnête


      1   Il peut y avoir d’autres acteurs, qui posent les mêmes
          problèmes de sécurité
      2   Revendeur
      3   Hébergeur DNS




                                                                   26 / 45
Avitaillement

 Saisie légale
    Opération « In Our Sites »
    L’ICE (U.S. Immigration and Customs Enforcement, agence
    états-unienne) a saisi auprès du registre de .com des
    centaines de noms (sans jugement).




                                                              27 / 45
Avitaillement

 La loi est nationale


    Bien se rappeler qu’il n’existe pas de TLD
    « international ».
    Vous utilisez un .com, vous êtes soumis à la loi états-unienne.




                                                                      28 / 45
Avitaillement
 Se faire prendre son domaine légalement en
 France


         Pas de garantie pour le titulaire de noms de domaine
         Le domaine peut être pris au titulaire de bonne foi, par
         jugement (affaire Milka en 2005) ou bien par menaces
         juridiques (affaire Madame Figaro en 2012).




                                                                    29 / 45
Avitaillement

 Détournement


    Manœuvres pour mettre la main sur un domaine (envoi
    de faux messages du titulaire, par exemple)
    Connu grâce au célébrissime sex.com qui a ainsi changé de
    mains plusieurs fois (et qui a fait l’objet d’un livre, le seul nom
    de domaine dans ce cas)




                                                                          30 / 45
Risques théoriques

Plan du tutoriel
    1   Introduction

    2   Résolution DNS

    3   Avitaillement

    4   Risques théoriques

    5   Réalités

    6   Solutions et recommandations

    7   Conclusion
                                       31 / 45
Risques théoriques
Certains risques sont surtout pour les
conférences sécurité


      1   Les orateurs aux conférences sécurité aiment bien les
          exposés techniques rigolos, même s’ils sont irréalistes.
      2   Dans ces conférences, on voit donc souvent passer des
          « vulnérabilités » qui ne marcheront qu’en labo
          (souvenez-vous de BEAST...)




                                                                     32 / 45
Risques théoriques

Exemple, les IDN
      1   En outre, dans ces conférences, tout le monde parle
          anglais : on est donc sûr d’obtenir un succès en attaquant
          Unicode.
      2   Exemple de légende urbaine répandue « Les IDN facilitent
          le hameçonnage, cìc.fr ressemble à cic.fr ».
      3   Or, toutes les études sur le hameçonnage montrent que
          les utilisateurs ignorent l’URL, ne le comprenant pas
          (cic-secure.com. . . ).
      4   Les spams de hameçonnage ne comprennent jamais
          d’URL et souvent uniquement des adresses IP !
      5   Mais le monde de la sécurité informatique n’est pas encore
          evidence-based. Les légendes ont la vie dure.

                                                                       33 / 45
Réalités

 Plan du tutoriel
    1   Introduction

    2   Résolution DNS

    3   Avitaillement

    4   Risques théoriques

    5   Réalités

    6   Solutions et recommandations

    7   Conclusion
                                       34 / 45
Réalités

 Les attaques les plus courantes


    Les attaques purement DNS sont très minoritaires
    Ne vous focalisez pas sur les attaques techniques
    sophistiquées qui font la une. La plupart des attaques sont
    « bêtes » mais efficaces (ingéniérie sociale, faille exploitée par
    un script-kiddie, dDoS purement volumétrique).




                                                                        35 / 45
Solutions et recommandations

Plan du tutoriel
    1   Introduction

    2   Résolution DNS

    3   Avitaillement

    4   Risques théoriques

    5   Réalités

    6   Solutions et recommandations

    7   Conclusion
                                       36 / 45
Solutions et recommandations

Redondance
     1   Avec le DNS, c’est facile, la redondance d’un service
         faisant autorité est prévue dès le début (contrairement à
         HTTP),
     2   Deux serveurs, ce n’est pas assez, mettez-en au moins
         quatre,
     3   Sur-avitailler : machines et réseaux pouvant tenir trois à
         cinq fois la charge normale (pour les cas de dDoS),
     4   Et, surtout, évitez le SPOF (Single Point of Failure). Ayez
         plusieurs sites physiques et, si possible, plusieurs
         opérateurs. . .


                                                                       37 / 45
Solutions et recommandations

Diversité


        Une bogue BIND et tous vos domaines sont fichus ?
        Une bogue Linux et, le jour de la seconde intercalaire,
        aucun serveur ne marche ?

    Favoriser la diversité génétique
    Par exemple, il n’y a aucune raison de n’utiliser que BIND.
    « Nous vous rappelons qu’il existe d’autres possibilités. »




                                                                  38 / 45
Solutions et recommandations

Supervision


        Surveiller l’état de ses domaines, pour éviter d’être
        prévenus par Slashdot et Zataz... (Surveiller le serveur
        Web est insuffisant.)
        Surveiller chaque serveur (autrement, vous serez
        prévenus seulement lorsque le dernier tombera en panne.)




                                                                   39 / 45
Solutions et recommandations

Bonnes pratiques de sécurité
    Rien de spéficique aux noms de domaines, mais :

     1   Bien vérifier la sécurité du système d’enregistrement (ne
         pas mettre le mot de passe de votre compte auprès du BE
         sur un post-it sur l’écran), et de l’hébergement DNS,
     2   Attention à l’ingéniérie sociale (« Bonjour, ici le service
         technique de votre registrar, il y a un problème technique,
         nous aurions besoin du mot de passe. »)
     3   Développer une culture de sécurité informatique dans le
         service qui gère les noms de domaines.



                                                                       40 / 45
Solutions et recommandations

3C


        Communication
        Coopération
        Coordination


    Trop de gens sont encore isolés dans leur coin, sans utiliser
    l’information publique, et sans échanger avec les pairs.




                                                                    41 / 45
Solutions et recommandations

DNSSEC



     1   Objectif : détecter les empoisonnements de cache
     2   Moyen : signature cryptographique des enregistrements




                                                                 42 / 45
Solutions et recommandations

DNSSEC, état


     1   Tous les TLD importants signés,
     2   Mais peu de domaines « utilisateur » signés,
     3   Et peu de résolveurs validents (le principal est Comcast
         aux USA).




                                                                    43 / 45
Conclusion

Plan du tutoriel
    1   Introduction

    2   Résolution DNS

    3   Avitaillement

    4   Risques théoriques

    5   Réalités

    6   Solutions et recommandations

    7   Conclusion
                                       44 / 45
Conclusion

Que faire ?



     1   Encore beaucoup de progrès à faire
     2   La plupart sur des pratiques de sécurité classiques
     3   Quelques nouvelles techniques (DNSSEC. . . )




                                                               45 / 45
Merci !

         www.afnic.fr
      contact@afnic.fr
     Twitter : @AFNIC
    Facebook : afnic.fr

More Related Content

Viewers also liked

Business Model Canvas Tekki 48 Dakar 2014
Business Model Canvas Tekki 48 Dakar 2014Business Model Canvas Tekki 48 Dakar 2014
Business Model Canvas Tekki 48 Dakar 2014Yann Le Beux
 
BlueXML Developer Studio
BlueXML Developer StudioBlueXML Developer Studio
BlueXML Developer Studiobch
 
Global presentation on behalf of Enbridge
Global presentation on behalf of EnbridgeGlobal presentation on behalf of Enbridge
Global presentation on behalf of EnbridgeLyndon Ward
 
Keynote: Speicher – Ein weiter Weg zur Marktreife
Keynote: Speicher – Ein weiter Weg zur MarktreifeKeynote: Speicher – Ein weiter Weg zur Marktreife
Keynote: Speicher – Ein weiter Weg zur MarktreifeVattenfall_de
 
16 09 2013-meadows_c.mangeant
16 09 2013-meadows_c.mangeant16 09 2013-meadows_c.mangeant
16 09 2013-meadows_c.mangeantThe Shift Project
 
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
Pyro Genesis Canada Inc   Cleantuesday (20120123 Final Publique Pour Distribu...Pyro Genesis Canada Inc   Cleantuesday (20120123 Final Publique Pour Distribu...
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...dianericard8
 
Quoi de neuf pour les bibliothèques en 2012
Quoi de neuf pour les bibliothèques en 2012Quoi de neuf pour les bibliothèques en 2012
Quoi de neuf pour les bibliothèques en 2012Marc Maisonneuve
 
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?Nicolas Morin
 
Riesgos higienicos de_la_soldadura
Riesgos higienicos de_la_soldaduraRiesgos higienicos de_la_soldadura
Riesgos higienicos de_la_soldaduraAmado Mora
 
Small and medium scale LNG for power generation
Small and medium scale LNG for power generationSmall and medium scale LNG for power generation
Small and medium scale LNG for power generationSmart Power Generation
 
130405 fgg cateura la dynamique mondiale des gaz de schistes
130405 fgg cateura la dynamique mondiale des gaz de schistes130405 fgg cateura la dynamique mondiale des gaz de schistes
130405 fgg cateura la dynamique mondiale des gaz de schistesOlivier CATEURA, PhD
 
Curso De Soldagem Mig Mag
Curso De Soldagem Mig MagCurso De Soldagem Mig Mag
Curso De Soldagem Mig Magwendelrocha
 

Viewers also liked (14)

Business Model Canvas Tekki 48 Dakar 2014
Business Model Canvas Tekki 48 Dakar 2014Business Model Canvas Tekki 48 Dakar 2014
Business Model Canvas Tekki 48 Dakar 2014
 
BlueXML Developer Studio
BlueXML Developer StudioBlueXML Developer Studio
BlueXML Developer Studio
 
Global presentation on behalf of Enbridge
Global presentation on behalf of EnbridgeGlobal presentation on behalf of Enbridge
Global presentation on behalf of Enbridge
 
Keynote: Speicher – Ein weiter Weg zur Marktreife
Keynote: Speicher – Ein weiter Weg zur MarktreifeKeynote: Speicher – Ein weiter Weg zur Marktreife
Keynote: Speicher – Ein weiter Weg zur Marktreife
 
16 09 2013-meadows_c.mangeant
16 09 2013-meadows_c.mangeant16 09 2013-meadows_c.mangeant
16 09 2013-meadows_c.mangeant
 
ECONOMIE GAZIERE
ECONOMIE GAZIEREECONOMIE GAZIERE
ECONOMIE GAZIERE
 
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
Pyro Genesis Canada Inc   Cleantuesday (20120123 Final Publique Pour Distribu...Pyro Genesis Canada Inc   Cleantuesday (20120123 Final Publique Pour Distribu...
Pyro Genesis Canada Inc Cleantuesday (20120123 Final Publique Pour Distribu...
 
CV
CVCV
CV
 
Quoi de neuf pour les bibliothèques en 2012
Quoi de neuf pour les bibliothèques en 2012Quoi de neuf pour les bibliothèques en 2012
Quoi de neuf pour les bibliothèques en 2012
 
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?Systèmes de Gestion de Bibliothèque - une nouvelle génération?
Systèmes de Gestion de Bibliothèque - une nouvelle génération?
 
Riesgos higienicos de_la_soldadura
Riesgos higienicos de_la_soldaduraRiesgos higienicos de_la_soldadura
Riesgos higienicos de_la_soldadura
 
Small and medium scale LNG for power generation
Small and medium scale LNG for power generationSmall and medium scale LNG for power generation
Small and medium scale LNG for power generation
 
130405 fgg cateura la dynamique mondiale des gaz de schistes
130405 fgg cateura la dynamique mondiale des gaz de schistes130405 fgg cateura la dynamique mondiale des gaz de schistes
130405 fgg cateura la dynamique mondiale des gaz de schistes
 
Curso De Soldagem Mig Mag
Curso De Soldagem Mig MagCurso De Soldagem Mig Mag
Curso De Soldagem Mig Mag
 

Similar to JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines

Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)felixaime
 
DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien communAnDaolVras
 
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)Florian Magnat
 
une présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de serviceune présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de serviceZaynebMessaoudi1
 
DDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackersDDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackerse-Xpert Solutions SA
 
Cira d zone overview risq-fr
Cira d zone overview risq-frCira d zone overview risq-fr
Cira d zone overview risq-frColloqueRISQ
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurColloqueRISQ
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSAfnic
 
Hadoop en 1461 leçons
Hadoop en 1461 leçonsHadoop en 1461 leçons
Hadoop en 1461 leçonsDavid Morel
 
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...Afnic
 
Decouverte de Services via le DNS (DNS-SD)
Decouverte de Services via le DNS (DNS-SD)Decouverte de Services via le DNS (DNS-SD)
Decouverte de Services via le DNS (DNS-SD)Afnic
 
Conséquences du filtrage Internet par le DNS
Conséquences du filtrage Internet par le DNSConséquences du filtrage Internet par le DNS
Conséquences du filtrage Internet par le DNSAfnic
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrDavid Girard
 
Attaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno TréguierAttaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno TréguierAFEIT
 
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...NBS System
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Installation et configuration d'ads 2003
Installation et configuration d'ads 2003Installation et configuration d'ads 2003
Installation et configuration d'ads 2003Dimitri LEMBOKOLO
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritée-Xpert Solutions SA
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Microsoft
 

Similar to JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines (20)

Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
 
DNS et bien commun
DNS et bien communDNS et bien commun
DNS et bien commun
 
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
Comment exploiter le DNS par plaisir et appât du gain ? (Infoblox)
 
une présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de serviceune présentation de cyber security sur le déni de service
une présentation de cyber security sur le déni de service
 
DDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackersDDoS, la nouvelle arme des hackers
DDoS, la nouvelle arme des hackers
 
Cira d zone overview risq-fr
Cira d zone overview risq-frCira d zone overview risq-fr
Cira d zone overview risq-fr
 
Au-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeurAu-delà du réseau - une défense simple en profondeur
Au-delà du réseau - une défense simple en profondeur
 
DNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNSDNSSEC : les extensions de sécurité du DNS
DNSSEC : les extensions de sécurité du DNS
 
Hadoop en 1461 leçons
Hadoop en 1461 leçonsHadoop en 1461 leçons
Hadoop en 1461 leçons
 
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
JCSA2013 01 Tutoriel Stéphane Bortzmeyer "Tout réseau a besoin d'identificate...
 
Decouverte de Services via le DNS (DNS-SD)
Decouverte de Services via le DNS (DNS-SD)Decouverte de Services via le DNS (DNS-SD)
Decouverte de Services via le DNS (DNS-SD)
 
5625
56255625
5625
 
Conséquences du filtrage Internet par le DNS
Conséquences du filtrage Internet par le DNSConséquences du filtrage Internet par le DNS
Conséquences du filtrage Internet par le DNS
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
 
Attaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno TréguierAttaques DDoS par Bruno Tréguier
Attaques DDoS par Bruno Tréguier
 
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
AWS Sécurité et Compliance : Fantasmes vs Réalité - Philippe Humeau NBS Syste...
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Installation et configuration d'ads 2003
Installation et configuration d'ads 2003Installation et configuration d'ads 2003
Installation et configuration d'ads 2003
 
Séminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécuritéSéminaire DLP : au coeur de la sécurité
Séminaire DLP : au coeur de la sécurité
 
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et r...
 

More from Afnic

Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Afnic
 
Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Afnic
 
Securing Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolSecuring Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolAfnic
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANEAfnic
 
Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Afnic
 
Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Afnic
 
.fr domain name life cycle
.fr domain name life cycle .fr domain name life cycle
.fr domain name life cycle Afnic
 
Cycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frCycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frAfnic
 
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...Afnic
 
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...Afnic
 
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...Afnic
 
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetJCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetAfnic
 
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetJCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetAfnic
 
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...Afnic
 
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013Afnic
 
New gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesNew gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesAfnic
 
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineNouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineAfnic
 
Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Afnic
 
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic
 
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractèresSynthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractèresAfnic
 

More from Afnic (20)

Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)Alternative Dispute Resolution Trends 2015 (1st Semester)
Alternative Dispute Resolution Trends 2015 (1st Semester)
 
Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)Tendances PARL 2015 (1er trimestre)
Tendances PARL 2015 (1er trimestre)
 
Securing Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocolSecuring Internet communications end-to-end with the DANE protocol
Securing Internet communications end-to-end with the DANE protocol
 
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANESécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
Sécuriser les communications sur Internet de bout-en-bout avec le protocole DANE
 
Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?Deploying DNSSEC: what, how and where ?
Deploying DNSSEC: what, how and where ?
 
Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?Déployer DNSSEC, comment, quoi, où ?
Déployer DNSSEC, comment, quoi, où ?
 
.fr domain name life cycle
.fr domain name life cycle .fr domain name life cycle
.fr domain name life cycle
 
Cycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .frCycle de vie d'un nom de domaine en .fr
Cycle de vie d'un nom de domaine en .fr
 
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
JCSA2013 08 - Isabelle Chrisment - L'initiative "PLATeforme d'observation de ...
 
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
JCSA2013 07 Pierre Lorinquer & Samia M'timet - Observatoire de la résilience ...
 
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
JCSA2013 06 Luigi Iannone - Le protocole LISP ("Locator/Identifier Sepration ...
 
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'InternetJCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
JCSA2013 05 Pascal Thubert - La frange polymorphe de l'Internet
 
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'InternetJCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
JCSA2013 04 Laurent Toutain - La frange polymorphe de l'Internet
 
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
JCSA2013 03 Christian Jacquenet - Nouveau shéma d'acheminement de trafic déte...
 
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
JCSA2013 02 Laurent Toutain - Introduction du Séminaire 2013
 
New gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain namesNew gTLDs: a new Big Bang for domain names
New gTLDs: a new Big Bang for domain names
 
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaineNouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
Nouvelles extensions Internet : un nouveau Big Bang pour les noms de domaine
 
Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012Observatoire sur la résilience Internet en France-2012
Observatoire sur la résilience Internet en France-2012
 
Afnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 charactersAfnic Public Consultation overview on the Opening of 1 and 2 characters
Afnic Public Consultation overview on the Opening of 1 and 2 characters
 
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractèresSynthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
Synthèse de la Consultation publique Afnic sur l'ouverture 1 et 2 caractères
 

JCSA 2012 Tutoriel Afnic par Stéphane Bortzmeyer : Securité des noms de domaines

  • 1. Sécurité des noms de domaine Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 1 / 45
  • 2. Sécurité des noms de domaine Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr 2 / 45
  • 3. Introduction Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 3 / 45
  • 4. Introduction Introduction Nous voulons tous de la sécurité pour nos noms. Mais quel genre de sécurité ? 1 Contre les pannes ? 1 Physiques ? 2 Logicielles ? 2 Contre les attaques ? Menées par qui ? 1 L’État ? 2 Le lycéen dans son garage ? 3 La mafia ? 3 Contre les cafouillages administratifs ? 1 Non-renouvellement 2 Hijacking 4 / 45
  • 5. Introduction SécuritéS Il n’y a pas la sécurité. Il y a plusieurs services de sécurité, parfois contradictoires : 1 La disponibilité (le service fonctionne) 2 L’intégrité (le service n’a pas été modifié subrepticement) 3 La confidentialité (le service ne laisse pas fuire des informations) Disponibilité et intégrité s’entendent souvent mal. 5 / 45
  • 6. Résolution DNS Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 6 / 45
  • 7. Résolution DNS Menaces contre la résolution DNS Résolution : demander aux serveurs DNS les informations associées à un nom de domaine (par exemple les adresses IP Il y a les serveurs résolveurs (typiquement fournis par le FAI) et les serveurs faisant autorité (ceux des titulaires de noms ou d’un hébergeur DNS). 7 / 45
  • 9. Résolution DNS Pannes matérielles Plein d’ennemis possibles : Pelleteuses (coupure de Prosodie en mai 2011) Femme de ménage Bâteau de pêche (dont l’ancre arrache les câbles) Écureuil (aux États-Unis, les câbles ne sont pas enterrés) 9 / 45
  • 10. Résolution DNS Pannes logicielles La seconde qui tue Le 1er juillet 2012, une bogue Linux liée à la seconde intercalaire plante de nombreux serveurs. Dont tous ceux du NIST (bureau états-unien des mesures). Tous les serveurs de time.gov sont en panne. Quand un domaine populaire s’arrête, tous les résolveurs se bloquent Le 19 mai 2009, presque tout l’Internet chinois paralysé par une panne du service de résolution de noms (attaque contre Baofeng, mais ayant rebondi sur les opérateurs réseaux). 10 / 45
  • 11. Résolution DNS Bogue au registre Le 12 octobre 2009, tous les noms de domaine suédois disparaissent pendant une heure. Le 12 mai 2010, les deux tiers des domaines allemands ont disparu pendant une heure et demie. 11 / 45
  • 12. Résolution DNS Attaque par déni de service Déni de service : attaque qui vise à empêcher le service de fonctionner. Il ne s’agit pas de prendre le contrôle du service, juste de l’arrêter. Par exemple, envoi d’une énorme quantité de données au serveur. . . qui n’arrive plus à suivre. Il ne peut plus alors répondre aux requêtes légitimes. Se défendre contre ces attaques est très difficile. 12 / 45
  • 13. Résolution DNS Exemples d’attaques par déni de service Le 23 décembre 2009, un grand libraire en ligne stoppé par une attaque DNS réussie. Attaque (ratée) contre les serveurs racine de février 2007. Mais aussi menaces non suivies d’effet comme le 31 mars 2012 contre la racine. Importante recrudescence des attaques par déni de service contre le DNS depuis décembre 2011. Les attaques sont devenues banales. 13 / 45
  • 14. Résolution DNS dDoS Il y a très longtemps que les pirates n’utilisent plus uniquement leurs propres machines ! Le pirate typique aujourd’hui est aux commandes d’un botnet (roBOT NETwork), des centaines de milliers de PC MS-Windows qui obéissent au doigt et à l’œil au C&C (Command & Control), le poste de commandement. 14 / 45
  • 15. Résolution DNS Modification des requêtes ou réponses dans le réseau Problème surtout étudié en Chine À l’intérieur du réseau, les réponses DNS sont modifiées (même si on avait demandé directement à un serveur étranger). 15 / 45
  • 16. Résolution DNS Modification des requêtes ou réponse par le résolveur Résolveurs menteurs Résolveurs du FAI qui donnent délibérement de fausses réponses. Motivation la plus courante : rediriger vers des pages de pub. Censure légale ARJEL en France, projets SOPA et PIPA aux États-Unis : le résolveur DNS a l’obligation légale de mentir (« www.romecasino.com n’existe pas ») 16 / 45
  • 17. Résolution DNS Résolveur menteur, pour le Bien ? 1 BIND a désormais un mécanisme pour le transformer en menteur, RPZ. Il permet en outre de distribuer les listes de domaines censurés via du transfert de zone. 2 Était-ce une bonne idée de filtrer les domaines potentiellement utilisés par le malware Conficker ? ikea, arte et sncf en ont été victime. Et Conficker n’a pas été stoppé. 17 / 45
  • 18. Résolution DNS Empoisonnement de cache (Kaminsky) Découverte en janvier 2008 par Dan Kaminsky, annoncée le 8 juillet 2008 puis publiée en août. A nécessité de patcher la plupart des résolveurs pour mettre des ports sources aléatoires. Exploite uniquement des failles connues mais avec un moyen de les rendre mille fois plus efficace. L’empoisonnement DNS était théoriquement possible, il devient facile. 18 / 45
  • 19. Résolution DNS Changement de résolveur 1 Les machines font une confiance aveugle à leur résolveur (peu valident elles-même avec DNSSEC). 2 Changer le résolveur permet de tout faire (le résolveur du méchant peut alors répondre que www.mabanque.example est 192.0.2.1, adresse contrôlée par le méchant). Exemple :DNS Changer Logiciel malveillant qui changeait les résolveurs. Le trafic était détourné vers des sites Web payants. Le FBI a piraté les résolveurs du méchant pour analyser le trafic. Le 9 juillet, ce détournement cesse et les « utilisateurs » de DNS Changer seront dans le noir. 19 / 45
  • 20. Résolution DNS Espionnage Le trafic DNS nous en apprend beaucoup. . . Tout gérant de serveur (faisant autorité ou résolveur) peut en apprendre sur les utilisateurs. 20 / 45
  • 21. Résolution DNS Attaques non techniques La lecture de certains journaux pourrait le faire oublier mais les attaques les plus courantes sont non techniques. Ingéniérie sociale (« j’ai oublié le nom du fichier où il avait le mot de passe, vous pouvez me le rappeler ? ») Un bon exemple est le hameçonnage « votre compte vient d’être crédité de 10 000 $, allez en http://192.0.2.1/form.php pour valider ce transfert » 21 / 45
  • 22. Avitaillement Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 22 / 45
  • 23. Avitaillement Enregistrement des noms Les noms de domaine sont enregistrés auprès d’un registre, souvent via un Bureau d’Enregistrement (BE), et hébergés chez un hébergeur DNS (souvent le BE). Chacun de ces acteurs peut être défaillant Par piratage ou malhonnêteté 23 / 45
  • 24. Avitaillement Piratage d’un BE Cas de google.co.ma en 2009 Piratage du BE (injection SQL) puis envoi des fausses données au registre 24 / 45
  • 25. Avitaillement Piratage d’un registre Piratage du registre .pr en 2009 Injection SQL au registre de Porto-Rico. microsoft.com.pr, dell.com.pr, etc redirigés 25 / 45
  • 26. Avitaillement Intermédiaire piraté ou malhonnête 1 Il peut y avoir d’autres acteurs, qui posent les mêmes problèmes de sécurité 2 Revendeur 3 Hébergeur DNS 26 / 45
  • 27. Avitaillement Saisie légale Opération « In Our Sites » L’ICE (U.S. Immigration and Customs Enforcement, agence états-unienne) a saisi auprès du registre de .com des centaines de noms (sans jugement). 27 / 45
  • 28. Avitaillement La loi est nationale Bien se rappeler qu’il n’existe pas de TLD « international ». Vous utilisez un .com, vous êtes soumis à la loi états-unienne. 28 / 45
  • 29. Avitaillement Se faire prendre son domaine légalement en France Pas de garantie pour le titulaire de noms de domaine Le domaine peut être pris au titulaire de bonne foi, par jugement (affaire Milka en 2005) ou bien par menaces juridiques (affaire Madame Figaro en 2012). 29 / 45
  • 30. Avitaillement Détournement Manœuvres pour mettre la main sur un domaine (envoi de faux messages du titulaire, par exemple) Connu grâce au célébrissime sex.com qui a ainsi changé de mains plusieurs fois (et qui a fait l’objet d’un livre, le seul nom de domaine dans ce cas) 30 / 45
  • 31. Risques théoriques Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 31 / 45
  • 32. Risques théoriques Certains risques sont surtout pour les conférences sécurité 1 Les orateurs aux conférences sécurité aiment bien les exposés techniques rigolos, même s’ils sont irréalistes. 2 Dans ces conférences, on voit donc souvent passer des « vulnérabilités » qui ne marcheront qu’en labo (souvenez-vous de BEAST...) 32 / 45
  • 33. Risques théoriques Exemple, les IDN 1 En outre, dans ces conférences, tout le monde parle anglais : on est donc sûr d’obtenir un succès en attaquant Unicode. 2 Exemple de légende urbaine répandue « Les IDN facilitent le hameçonnage, cìc.fr ressemble à cic.fr ». 3 Or, toutes les études sur le hameçonnage montrent que les utilisateurs ignorent l’URL, ne le comprenant pas (cic-secure.com. . . ). 4 Les spams de hameçonnage ne comprennent jamais d’URL et souvent uniquement des adresses IP ! 5 Mais le monde de la sécurité informatique n’est pas encore evidence-based. Les légendes ont la vie dure. 33 / 45
  • 34. Réalités Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 34 / 45
  • 35. Réalités Les attaques les plus courantes Les attaques purement DNS sont très minoritaires Ne vous focalisez pas sur les attaques techniques sophistiquées qui font la une. La plupart des attaques sont « bêtes » mais efficaces (ingéniérie sociale, faille exploitée par un script-kiddie, dDoS purement volumétrique). 35 / 45
  • 36. Solutions et recommandations Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 36 / 45
  • 37. Solutions et recommandations Redondance 1 Avec le DNS, c’est facile, la redondance d’un service faisant autorité est prévue dès le début (contrairement à HTTP), 2 Deux serveurs, ce n’est pas assez, mettez-en au moins quatre, 3 Sur-avitailler : machines et réseaux pouvant tenir trois à cinq fois la charge normale (pour les cas de dDoS), 4 Et, surtout, évitez le SPOF (Single Point of Failure). Ayez plusieurs sites physiques et, si possible, plusieurs opérateurs. . . 37 / 45
  • 38. Solutions et recommandations Diversité Une bogue BIND et tous vos domaines sont fichus ? Une bogue Linux et, le jour de la seconde intercalaire, aucun serveur ne marche ? Favoriser la diversité génétique Par exemple, il n’y a aucune raison de n’utiliser que BIND. « Nous vous rappelons qu’il existe d’autres possibilités. » 38 / 45
  • 39. Solutions et recommandations Supervision Surveiller l’état de ses domaines, pour éviter d’être prévenus par Slashdot et Zataz... (Surveiller le serveur Web est insuffisant.) Surveiller chaque serveur (autrement, vous serez prévenus seulement lorsque le dernier tombera en panne.) 39 / 45
  • 40. Solutions et recommandations Bonnes pratiques de sécurité Rien de spéficique aux noms de domaines, mais : 1 Bien vérifier la sécurité du système d’enregistrement (ne pas mettre le mot de passe de votre compte auprès du BE sur un post-it sur l’écran), et de l’hébergement DNS, 2 Attention à l’ingéniérie sociale (« Bonjour, ici le service technique de votre registrar, il y a un problème technique, nous aurions besoin du mot de passe. ») 3 Développer une culture de sécurité informatique dans le service qui gère les noms de domaines. 40 / 45
  • 41. Solutions et recommandations 3C Communication Coopération Coordination Trop de gens sont encore isolés dans leur coin, sans utiliser l’information publique, et sans échanger avec les pairs. 41 / 45
  • 42. Solutions et recommandations DNSSEC 1 Objectif : détecter les empoisonnements de cache 2 Moyen : signature cryptographique des enregistrements 42 / 45
  • 43. Solutions et recommandations DNSSEC, état 1 Tous les TLD importants signés, 2 Mais peu de domaines « utilisateur » signés, 3 Et peu de résolveurs validents (le principal est Comcast aux USA). 43 / 45
  • 44. Conclusion Plan du tutoriel 1 Introduction 2 Résolution DNS 3 Avitaillement 4 Risques théoriques 5 Réalités 6 Solutions et recommandations 7 Conclusion 44 / 45
  • 45. Conclusion Que faire ? 1 Encore beaucoup de progrès à faire 2 La plupart sur des pratiques de sécurité classiques 3 Quelques nouvelles techniques (DNSSEC. . . ) 45 / 45
  • 46. Merci ! www.afnic.fr contact@afnic.fr Twitter : @AFNIC Facebook : afnic.fr