À mesure que l’Internet poursuit son évolution à une vitesse vertigineuse, les cybermenaces évoluent en conséquence. Prenons la ruée subite vers le télétravail au début de la pandémie. Pendant que les services informatiques se démenaient pour munir les télétravailleurs des outils adéquats, les malfaiteurs se sont vu offrir sur un plateau d’argent de nouvelles vulnérabilités à exploiter. Et ils ont exploité ce nouveau filon à fond en ciblant les télétravailleurs au moyen d’une série de nouvelles attaques, notamment des arnaques d’hameçonnage liées à la COVID, des attaques de rançongiciels et des domaines malveillants pour les réunions sur Zoom.
Ici chez CIRA, le renforcement de la sécurité sur l’Internet et la résilience font partie intégrante de notre mandat. Même si nous sommes surtout connus en tant qu’organisme national sans but lucratif qui administre le domaine .CA au nom de tous les Canadiens, nous mettons également au point et offrons un éventail de services de cybersécurité et de systèmes de noms de domaine (DNS) qui contribuent à un Internet auquel les Canadiens peuvent se fier. Notre service Anycast DNS assure des services DNS secondaires à un tiers de tous les domaines de premier niveau sur l’Internet, tandis que les services de cybersécurité comme le Bouclier canadien de CIRA et le CIRA DNS Firewall protègent des millions d’utilisateurs au Canada.
À la fin de l’année dernière, nous avons décidé d’examiner les rouages du service du DNS Firewall de CIRA. Si vous n’êtes pas au courant, voici ce que ce service offre : il analyse et effectue des contrôles du trafic DNS pour des centaines d’organisations dans tout le pays, en assurant la protection de leurs réseaux, de leurs appareils et de leurs employés contre la liste grandissante de cybermenaces; il assure ainsi le blocage des requêtes à des sites malveillants ou à des contenus indésirables. Le service protège plus de 3,1 millions d’utilisateurs dans divers secteurs, y compris les municipalités, les établissements de santé, les services financiers, l’enseignement supérieur, les écoles de la maternelle à la 12e année et les organisations liées à CANARIE et à ses partenaires provinciaux et territoriaux du Réseau national de recherche et d’éducation (NREN).
Grâce à l’examen des tendances du trafic et des requêtes de connexion à des sites malveillants, CIRA peut surveiller les menaces répertoriées, analyser les nouvelles et élaborer des stratégies de réduction des risques émergents dans les réseaux partout au pays.
Notre analyse des données du DNS Firewall pour le 4e trimestre de 2021 portait sur les requêtes de domaine bloquées dans plus de 600 entreprises et organismes du 15 septembre 2021 au 15 janvier 2022. Dans le but de faire avancer le débat national portant sur la cybersécurité, CIRA est ravie de communiquer les principales conclusions de l’étude des menaces auxquelles sont confrontées toutes les entreprises et organisations à l’échelle nationale.
Les maliciels et l’hameçonnage constituent les menaces les plus fréquemment bloquées
Au cours du 4e trimestre, les requêtes de maliciels représentaient le type de menaces les plus couramment bloquées, avec une moyenne quotidienne de 48 000, suivi de 13 285 domaines d’hameçonnage et de 7 251 réseaux de zombies. Comment décelons-nous les sites qui peuvent poser problème? Chaque fois qu’un utilisateur clique sur un lien ou saisis une URL, à l’aide de notre vigie de pointe sur les menaces, CIRA DNS Firewall contre-vérifie que les sites ne sont pas de nature malveillante. Lorsque nous déterminons qu’ils sont malveillants, nous empêchons les utilisateurs d’y accéder.
Des augmentations notables dans les blocages de domaines individuels de premier niveau infectés par des maliciels.
L’analyse des activités du 4e trimestre a également révélé une augmentation notable du nombre de domaines individuels infectés par des maliciels bloqués par le DNS Firewall, signe d’une hausse concomitante des activités malveillantes.
Pendant la période analysée, 39 219 domaines individuels au total ont été bloqués par le DNS Firewall, les blocages liés aux réseaux de zombies comptant pour plus de la moitié du total (52,8 %). Les domaines infectés par les maliciels comptaient pour 21,8 % de tous les blocages, alors que des domaines individuels d’hameçonnage en constituaient un peu plus d’un quart.
Hausse de 50 % dans les maliciels et les hameçonnages bloqués
En parallèle à la hausse des blocages de domaines individuels de premier niveau, l’analyse des données du DNS Firewall indique, qu’entre septembre et novembre 2021, la moyenne quotidienne de domaines individuels infectés par les maliciels bloqués est passée de 500 à environ 750, une hausse de 50 %. Le nombre de domaines d’hameçonnage individuels bloqués indiquait une croissance semblable pour cette même période.
S’il est vrai que cette tendance ne s’est pas poursuivie au cours du mois de décembre, le fait qu’un nombre considérable de clients du DNS Firewall œuvrent dans le secteur de l’enseignement, indique que le congé des fêtes a joué un rôle dans cette baisse à la fin de l’année.
Les organismes gouvernementaux ont enregistré le plus grand nombre de réseaux de zombies bloqués quotidiennement.
Les organismes gouvernementaux ont constaté la moyenne la plus élevée de blocages quotidiens de réseaux de zombies par client, selon notre analyse, suivi des segments de la grande entreprise et de la santé.
Il est très important de bloquer les requêtes des sites infectés par des réseaux de zombies, car ces derniers peuvent rester en dormance dans le réseau et éviter la détection sur de longues périodes. Une fois activés par un serveur de commande et de contrôle externe, les réseaux de zombies peuvent être utilisés à de nombreuses fins malveillantes comme le vol de données, l’envoi de pourriels, les campagnes de fraude en ligne et les attaques de déni de service distribué.
Un seul exploitant d’infrastructures essentielles comptait pour presque tous les blocages de réseaux de zombies dans sa province d’origine
Presque tous les blocages de réseaux de zombies d’une seule province ont été enregistrés par un seul exploitant d’infrastructures essentielles doté d’un réseau d’Internet des Objets (IdO) étendu. Les appareils IdO, comme les capteurs à distance et les caméras de sécurité, sont de plus en plus courants dans les réseaux industriels. Malgré tous les avantages que ces appareils présentent, ils peuvent facilement être compromis et présenter un risque important pour les organisations qui tentent de prévenir les cyberattaques.
Le principal réseau de zombies détecté était le fameux Mirai Botnet, qui attaque des appareils intelligents et d’IdO vulnérables et tente de les utiliser pour lancer un éventail de cyberattaques variées, notamment des attaques massives de déni de service distribué. Au total, Mirai comptait pour plus de 32 000 blocages de 9 domaines malveillants pour ce fournisseur d’infrastructures, en grande partie dans une période de trois semaines en décembre.
Des clients du secteur de l’enseignement dans les Prairies bloquent 165 000 requêtes de réseaux de zombies dans le secteur des services bancaires en ligne
Entre le 19 novembre (la date de départ de l’analyse du réseau de zombies) et le 30 novembre 2021, le DNS Firewall a bloqué plus de 165 000 requêtes de domaines liés à Fobber, un réseau de zombies du secteur des services bancaires en ligne qui a pour but de dérober des renseignements personnels. Les blocages ont eu des conséquences sur sept clients du secteur de l’enseignement dans les Prairies.
Le maliciel Ave Maria a été bloqué plus d’un demi-million de fois en trois jours
Découvert la première fois en 2018, le maliciel et logiciel espion Ave Maria est un cheval de Troie qui permet aux pirates de prendre le contrôle de PC infectés et de les configurer pour y accéder à distance. Une fois l’accès obtenu, les pirates peuvent dérober les renseignements personnels des utilisateurs, notamment les identifiants de connexion pour les services bancaires en ligne et les sites de médias sociaux.
Entre les 17 et 19 novembre 2021, dans une grande université des Prairies, le CIRA DNS Firewall a bloqué un nombre exceptionnellement élevé de requêtes, soit 582 344, pour le domaine staticimg . youtuuee . com, qui est lié à Ave Maria. Étonnamment, étant donné les fortes hausses des requêtes pendant un laps de temps relativement court, le domaine n’a pas été détecté ailleurs par le DNS Firewall avant ou après cet incident.
Cinquante-neuf vulnérabilités Log4j bloquées avec succès
Le DNS Firewall de CIRA a recensé un total de 59 blocages de domaines que les chercheurs en cybersécurité ont identifiés comme étant liés aux tentatives de l’exploitation d’une vulnérabilité en Apache Log4j 2, une librairie Java omniprésente utilisée pour la journalisation des messages d’erreurs dans des millions d’applications Web.
Découverte en mi-décembre 2021 et appelée « Log4Shell », cette vulnérabilité très publicisée est d’abord apparue sur des sites répondant aux besoins des utilisateurs de Minecraft, mais a été depuis découverte au sein d’organismes et d’entreprises dans presque tous les secteurs. Log4shell est une vulnérabilité d’exécution de code à distance qui permet aux pirates d’exécuter un code à distance sur des appareils infectés afin de télécharger des maliciels ou d’ouvrir une connexion dérobée de serveur.
Hausse du volume de blocages d’hameçonnages et de maliciels dans l’enseignement supérieur
Des clients du DNS Firewall dans le secteur de l’enseignement supérieur ont constaté des hausses notables dans le volume de blocages d’hameçonnages et de maliciels. Une université dans le centre de l’Ontario a enregistré le volume le plus élevé de requêtes d’hameçonnages bloquées, une proportion de 15 % du total, alors qu’un autre établissement collégial a connu plus de 1,6 million de blocages de domaines infectés par des maliciels, représentant 27 % du total.
L’hameçonnage est la menace la plus courante que subissent les administrations municipales
Pour les clients des administrations municipales ayant acheté le DNS Firewall, l’hameçonnage était la menace la plus courante, avec une moyenne de 979 requêtes DNS bloquées enregistrées quotidiennement dans ce segment (ou approximativement 14 blocages par jour par client en moyenne). Le DNS Firewall a également bloqué 820 requêtes liées aux domaines infectés par des maliciels sur une base quotidienne. Globalement, 2 360 domaines individuels ont été bloqués dans ce segment au cours du trimestre.
Points principaux
La confidentialité et la sécurité des Canadiens ainsi que la confiance qu’ils portent aux institutions sont menacées tous les jours par les cyberattaques. Les données ci-dessus du CIRA DNS Firewall indiquent d’ailleurs que les organismes publics et les sociétés privées sont confrontés à un volume accru de cybermenaces de plus en plus virulentes.
Cette tendance devrait se maintenir, car les modes de travail hybride et à distance sont en train de devenir la norme et les cybercriminels trouvent de nouvelles façons d’exploiter cette surface d’attaque élargie. La protection des infrastructures Internet du Canada est d’autant plus importante pour que les établissements scolaires, les hôpitaux et les organisations gouvernementales puissent assurer la continuité de leurs activités.
Dans le but d’aider les experts des technologies de l’information et de la cybersécurité chargés de la lutte contre les cybermenaces, nous avons mis sur pied une série de ressources expliquant comment les DNS protégés et les formations régulières de sensibilisation à la cybersécurité peuvent contribuer à protéger le réseau de votre organisation :
- Pourquoi un flux de menaces est-il important pour la cybersécurité de votre organisation?
- Rester à l’affût face aux nouvelles attaques des cybercriminels : quelques conseils pour une formation continue en cybersécurité
- Comment fonctionne le flux de menaces du CIRA DNS Firewall
En savoir plus sur les façons dont le service CIRA DNS Firewall peut aider à protéger votre organisation contre les cybermenaces.
Jon Ferguson dirige l’unité de cybersécurité et des services DNS de CIRA, qui s’appuie sur les services DNS de classe mondiale de l’organisation pour fournir des services de cybersécurité et de formation aux Canadiens et à la communauté Internet mondiale. Au cours des 15 dernières années, Jon a occupé des postes de direction de produits pour des organisations qui élaborent des solutions d’Internet des objets et de cybersécurité distribuées à l’échelle mondiale.
