L’exfiltration DNS, une menace ignorée et amplifiée
Pour IDC, le DNS (Domain Name System), qui permet d’acheminer le trafic Internet vers les destinataires prévus, représente une menace largement ignorée alors qu’il constitue la principale source d’exfiltration de données.
Quels seront les effets de l’exfiltration de données et du tunneling dès la mise en place du GDPR (General Data Protection Regulation) en mai 2018 ? Les analystes d’IDC, Duncan Brown et Romain Fouchereau, se sont intéressés à la question. Ils viennent de publier avec EfficientIP, leader des solutions DDI (DNS, DHCP, IPAM), un rapport indépendant dans Technology Spotlight. Le cabinet d’analyses met l’accent sur les cyberattaques sur le DNS et l’aggravation du risque de vols de données sous le manteau.
Avec des amendes pouvant atteindre 20 millions EUR ou 4% du chiffre d’affaires mondial si ce montant est plus élevé, les sanctions prévues en cas de non-conformité défrayent la chronique. En parallèle, le DNS, qui permet d’acheminer le trafic Internet vers les destinataires prévus, représente une menace largement ignorée alors qu’il constitue la principale source d’exfiltration de données. IDC considère cela comme un «domaine qui est souvent négligé par les organisations – généralement parce qu’elles n’ont pas conscience de son existence».
Le manque de connaissances sur l’exfiltration DNS facilite les attaques malveillantes qui consistent à cacher puis à chiffrer les données à voler, à l’intérieur d”étiquettes d’adresse’ en apparence légitimes. Celles-ci sont utilisées par les serveurs DNS pour acheminer le trafic entrant et sortant des serveurs publics. La solution que suggèrent les analystes est semblable à celle utilisée pour détecter les comportements malveillants dans le trafic réseau -mais au niveau plus fondamental du DNS.
«Le GDPR concerne uniquement le risque pour les entreprises. En 2018, l’exfiltration des données va changer la donne et affecter les organisations à l’échelle mondiale et non pas se limiter à celles qui sont établies dans l’Union européenne, constate Duncan Brown, analyst, IDC. La sécurité de DNS accrue est une couche de protection supplémentaire permettant de préserver la confidentialité des données circulant sur les réseaux et des clients. Ce qui doit préserver la réputation et rendre le GDPR possible.»
Pour David Williamson, CEO, EfficientIP, les atouts du GDPR pour la vie privée des citoyens sont incontestables. Encore faut-il régler cette faille mise en évidence les experts d’IDC. «La détection des attaques DNS peut comprendre l’analyse des modèles de trafic DNS, le fait de mettre en liste noire les sources de trafic compromises, voire une analyse sophistiquée des paquets avec possibilité de mise en quarantaine du trafic suspect. De telles actions, même aujourd’hui où nous sommes plus que jamais proches de l’entrée en vigueur du GDPR, ne sont pas en place dans toutes les organisations.»
Outre le fait de détecter les comportements menaçants probables grâce à l’analyse de DNS, certaines contre-mesures défensives, telles que la séparation du cache de DNS et des fonctions récursives proposée par EfficientIP, constituent une réaction efficace aux attaques DNS. Ces attaques peuvent entraîner le vol de milliers de dossiers personnels en quelques minutes.
«C’est très simple : il suffit de choisir entre prendre au sérieux les attaques DNS en les considérant comme une cyber-menace ou s’exposer à l’humiliation publique et à des sanctions financières qui menaceront la survie de l’entreprise le jour où le GDPR sera en place», conclut David Williamson.
