Nous présumons que les attaques visant les institutions financières sont motivées par un désir de s’enrichir, soit en volant, en ayant recours à des logiciels rançonneurs ou, indirectement, au moyen du vol de données. Toutefois, il faut aussi souligner que de nombreux pirates informatiques recourent à des attaques multivectorielles pour dissimuler leurs activités, et que le piratage et le cyberactivisme amateur demeurent une menace planant sur toutes les marques reconnues.
À intervalles réguliers de quelques mois, des groupes de pirates informatiques s’étant attaqués à une grande banque du monde font les manchettes. Récemment, on a assisté à un virage intéressant ciblant des banques centrales (en anglais). Tous les types d’institutions financières peuvent être ciblés; même si l’attaque se solde par un échec, l’attention suscitée se répercute sur l’ensemble des personnes concernées, du chef de la direction de la banque jusqu’à l’épargnant d’un 20 $. Bref, lorsqu’il est question d’argent, tout le monde se sent concerné parce que les enjeux sont considérables et tellement personnels.
Les grandes banques sont des cibles de choix depuis l’époque du Far West. Mais les attaques d’aujourd’hui, qui surviennent en une fraction de seconde (en anglais) ne laissent aucune chance à la cavalerie d’accourir à la rescousse et de sauver la situation. Nous présumons que les attaques visant les institutions financières sont motivées par un désir de s’enrichir, soit en volant, en ayant recours à des logiciels rançonneurs ou, indirectement, au moyen du vol de données. Toutefois, il faut aussi souligner que de nombreux pirates informatiques recourent à des attaques multivectorielles pour dissimuler leurs activités, et que le piratage et le cyberactivisme amateur demeurent une menace planant sur toutes les marques reconnues. De plus, selon un article publié à la fin de l’an dernier dans le Financial Post, les institutions de moins grande envergure sont aussi ciblées, mais ne disposent souvent pas des mêmes ressources pour combattre les attaques (en anglais).
Le rôle de l’ACEI consistant à contribuer à la sécurité accrue des organisations canadiennes a pris naissance grâce à un réseau DNS anycast secondaire destiné au trafic canadien. Nous avons récemment ajouté un service de pare-feu DNS qui est actuellement utilisé en version préliminaire dans le secteur MUSH (municipalités, universités, écoles et hôpitaux). Autrement dit, nous installons une infrastructure DNS dans les IXP canadiens pour protéger les organisations, les titulaires de noms de domaine et les internautes contre les attaques provenant d’ici et d’ailleurs dans le monde.
Avec un DNS faisant autorité, le fait de se doter de plus d’un fournisseur constitue une pratique prudente en matière de gestion des risques
En ce qui concerne les serveurs DNS faisant autorité dans les grandes institutions financières canadiennes (en anglais), les attaques multivectorielles de grande envergure par DDoS perpétrées contre le DNS, comme celles dont ont été la cible plusieurs banques du Royaume-Uni plus tôt cette année, constituent la principale menace. Les attaques par DDoS visent à submerger les ressources d’un trafic si intense que celles-ci ne sont plus en mesure de traiter les requêtes légitimes. Bien que ces attaques occasionnent des perturbations, elles sont moins problématiques du point de vue des données personnelles que d’autres types de menaces.
Dans la première partie du présent article, nous nous sommes penchés sur l’architecture de premier niveau de plus de 150 banques des annexes I et II, sociétés de placement immobilier, sociétés d’assurance et cabinets de courtage. Cet examen nous a amenés à conclure qu’en règle générale, les institutions financières du Canada n’ont pas plus d’un fournisseur de DNS (en anglais) – ce qui constitue pourtant une pratique exemplaire recommandée pour assurer une meilleure protection des systèmes de messagerie, des sites Web et des applications Web contre les pannes. La mise en place d’un réseau secondaire présente également l’avantage d’être facilement réalisable, rentable et sans risque comparativement au coût réel de l’atténuation de la moindre attaque. Certaines des attaques récentes très médiatisées, par exemple celle qui a ciblé l’an dernier le fournisseur de DNS Dyn, permettent de constater qu’un nombre incalculable d’organisations peuvent être paralysées sans nécessairement être elles-mêmes la cible des attaques. On recense d’autres exemples du genre ayant ciblé des services infonuagiques et des sociétés d’hébergement.
Pour dresser ce second portrait, en plus de nous pencher sur le nombre de fournisseurs, nous avons procédé à une analyse plus détaillée de l’état de santé du DNS d’un groupe sélectionné d’institutions au moyen du test de configuration du DNS D-Zone.
Pleins feux sur les institutions les plus susceptibles de présenter des problèmes de configuration
Au moins une grande institution financière du Canada était dotée d’un DNS que l’on ne peut que qualifier de bizarre. Pour clarifier les choses, précisons qu’il est question ici de son .com et de son .CA, dont ce dernier redirige simplement vers le précédent. Cette configuration était très étrange en raison du fait qu’elle utilisait Akamai. De ce simple fait, l’institution aurait dû être exclue de cette analyse comparative des serveurs de noms faisant autorité, mais la situation était tellement inhabituelle que nous en faisons état ici. D’abord, elle n’a pas obtenu de bons résultats lors du test de configuration du DNS. Dans le cadre d’un scénario de réseau de diffusion de contenu (CDN), nous ne nous attendons pas nécessairement à ce que le DNS se comporte « normalement ». Dans le cas qui nous concerne, les serveurs Akamai font référence à ce qui semble être des serveurs DNS internes (c’est-à-dire que les réponses qu’ils fournissent ne sont pas conformes au registre). Par-dessus tout, lorsqu’on a examiné les réponses des serveurs de noms, on a constaté que deux des quatre serveurs étaient en panne lorsqu’on les a interrogés. En résumé, le DNS semble inutilement compliqué et fonctionne à 50 pour cent sans grande redondance apparente ni système de secours global assuré par un deuxième fournisseur de DNS. Nous nous efforçons de demeurer positifs et de ne viser personne en particulier, mais nous vous conseillons vivement de soumettre votre DNS à un test pour en évaluer la performance.
Certaines choses ont simplement l’air… bizarre : configuration inhabituelle observée chez une grande banque et indiquant plusieurs problèmes analyse réalisée au moyen de dnstests.www.cira.ca)
Pour comprendre la prévalence des problèmes de configuration, nous avons exclu du reste de cette étude les institutions ayant recours à des grands fournisseurs de DNS, présentant une redondance visible ou ayant recours à un CND pour leur DNS (p. ex. Akamai). Cette démarche visait à examiner plus particulièrement les institutions les plus susceptibles de présenter des problèmes de configuration et à reconnaître la complexité accrue des décisions relatives au DNS dans un scénario de réseau de diffusion de contenu multi-serveurs.
Qu’a révélé notre examen plus approfondi des DNS des institutions financières? Nous sommes heureux d’annoncer que le DNS du secteur financier est en bien meilleur état que celui des autres secteurs sur lesquels nous nous sommes penchés. Nous avons même jugé inutile de représenter les problèmes dans un diagramme. Cette excellente nouvelle est sans doute attribuable à la gestion quasi parfaite que les institutions financières ont dû assurer de la liste des tâches des TI pour se protéger contre les attaques dont elles sont depuis si longtemps la cible. Nous avons notamment procédé à une analyse semblable sur un échantillon représentatif d’organisations exerçant leurs activités hors du secteur financier et gérant leur propre serveur de noms (accessible à la section ressources pour les personnes inscrites), laquelle a révélé en moyenne trois problèmes liés au DNS pour chaque organisation. Par conséquent, nous nous penchons sur les problèmes mineurs recensés le plus souvent lors de cette analyse.
- Le DNS recourt au TCP lorsque l’UDP n’est pas accessible et, dans le cas de bon nombre d’institutions financières, au moins un serveur DNS n’était pas accessible avec le TCP. Il s’agit d’une situation assez courante due au fait que les responsables des pare-feu et ceux des réseaux ne sont pas toujours au diapason.
- Dans plusieurs cas, le serveur de noms n’a pas répondu aux requêtes. Cette situation peut se produire dans quelques circonstances, mais avec un système DNS bien construit, cela ne devrait jamais être nécessaire. Premièrement, lorsqu’un serveur de noms fait l’objet d’une maintenance. Deuxièmement, lorsqu’un serveur n’est tout simplement pas utilisé et que personne n’a mis à jour ses dossiers DNS auprès du registraire. Troisièmement, lorsqu’il existe un problème et que l’institution profite d’une redondance de loin inférieure à celle dont elle pense profiter.
- Il est nécessaire d’avoir un enregistrement PTR lorsqu’on gère un serveur de messagerie et, dans plusieurs situations, on a observé un décalage des résultats PTR. Cela peut indiquer aux filtres antipourriel que vos courriels ne sont pas légitimes. Cette situation est fort probablement indésirable pour vos représentants en fonds communs de placement.
- Nous avons recensé bon nombre d’enregistrements de serveur de noms sur le même serveur d’applications ou la même identification réseau. Cela n’est pas nécessairement une mauvaise chose étant donné que la configuration du DNS peut être structurée de manière à assurer la redondance nécessaire sur un même serveur d’applications. Le fait de disposer de serveurs DNS sur plusieurs réseaux différents ou avec plusieurs fournisseurs de réseau constitue cependant une autre pratique exemplaire qui peut facilement être mise en place avec un DNS secondaire.
Quoi d’autre? Verrouillage du DNS pour votre nom de domaine
La semaine dernière, le piratage par des voleurs du DNS d’une institution financière brésilienne non désignée a fait les manchettes dans le monde de la sécurité. Il s’agissait d’un rapport produit par Kaspersky Lab relatant un incident qui s’est produit en octobre 2016 (en anglais) et qui était très différent d’autres piratages récents visant la diffusion d’un message cyberactiviste. Dans ce cas, il s’agissait plutôt d’un réacheminement professionnel de l’ensemble des 36 noms de domaine de la banque vers des sites Web bidon ayant l’apparence des véritables services Internet de la banque. Les pirates avaient également pris le contrôle de la messagerie électronique de la banque, ce qui lui compliquait la tâche de communiquer le problème à ses clients pendant les cinq heures qu’a duré le problème. Des clients ont ainsi divulgué sur un site factice le nom d’utilisateur et le mot de passe permettant d’accéder à leur compte, et leur appareil s’est trouvé infecté par des logiciels malveillants. Nos analystes ne sont pas en mesure de savoir quelles banques disposent d’un domaine .com verrouillé, mais, pour chaque institution financière, chacun des domaines devrait être verrouillé à partir du registre.
En conclusion, en soumettant un échantillon représentatif des noms de domaines des institutions financières canadiennes à notre test de configuration du DNS, nous avons été vraiment très impressionnés par la qualité de la configuration dans l’ensemble. Le problème le plus important que nous ayons relevé correspond à l’insuffisance d’architectures multi-fournisseurs favorisant le maintien des services en cas de panne chez l’un d’eux. Bien joué! Il est maintenant temps de retourner sur le terrain et de confirmer cette victoire!
Rob a acquis plus de 20 ans d’expérience de la rédaction, de la présentation et du blogage à l’intention de l’industrie des technologies. Il aborde des thèmes aussi variés que les outils de développement de logiciels, l’ingénierie inverse de Silicon, la cybersécurité et le DNS. De fait, Rob est un spécialiste du marketing passionné qui s’adresse aux professionnelles et aux professionnels des TI en leur donnant les renseignements et les précisions dont ils ont besoin pour s’acquitter de leurs tâches.
