{"id":42353,"date":"2017-04-10T04:00:00","date_gmt":"2017-04-10T08:00:00","guid":{"rendered":"https:\/\/www.cira.ca\/blog\/examen-du-dns-des-societes-de-services-financiers-du-canada\/"},"modified":"2023-03-10T10:57:34","modified_gmt":"2023-03-10T15:57:34","slug":"examen-du-dns-des-societes-de-services-financiers-du-canada","status":"publish","type":"cira_news","link":"https:\/\/www.cira.ca\/fr\/ressources\/nouvelles\/cybersecurite\/examen-du-dns-des-societes-de-services-financiers-du-canada\/","title":{"rendered":"Examen du DNS des soci\u00e9t\u00e9s de services financiers du Canada"},"content":{"rendered":"

Nous pr\u00e9sumons que les attaques visant les institutions financi\u00e8res sont motiv\u00e9es par un d\u00e9sir de s’enrichir, soit en volant, en ayant recours \u00e0 des logiciels ran\u00e7onneurs ou, indirectement, au moyen du vol de donn\u00e9es. Toutefois, il faut aussi souligner que de nombreux pirates informatiques recourent \u00e0 des attaques multivectorielles pour dissimuler leurs activit\u00e9s, et que le piratage et le cyberactivisme amateur demeurent une menace planant sur toutes les marques reconnues.<\/p>\n

<\/p>\n

\u00c0 intervalles r\u00e9guliers de quelques mois, des groupes de pirates informatiques s’\u00e9tant attaqu\u00e9s \u00e0 une grande banque du monde font les manchettes. R\u00e9cemment, on a assist\u00e9 \u00e0 un virage int\u00e9ressant\u00a0ciblant des banques centrales (en anglais). Tous les types d’institutions financi\u00e8res peuvent \u00eatre cibl\u00e9s; m\u00eame si l’attaque se solde par un \u00e9chec, l’attention suscit\u00e9e se r\u00e9percute sur l’ensemble des personnes concern\u00e9es, du chef de la direction de la banque jusqu’\u00e0 l’\u00e9pargnant d’un 20\u00a0$. Bref, lorsqu’il est question d’argent, tout le monde se sent concern\u00e9 parce que les enjeux sont consid\u00e9rables et tellement personnels.<\/p>\n

Les grandes banques sont des cibles de choix depuis l’\u00e9poque du Far West. Mais les attaques d’aujourd’hui, qui surviennent en une fraction de seconde (en anglais) ne laissent aucune chance \u00e0 la cavalerie d’accourir \u00e0 la rescousse et de sauver la situation. Nous pr\u00e9sumons que les attaques visant les institutions financi\u00e8res sont motiv\u00e9es par un d\u00e9sir de s’enrichir, soit en volant, en ayant recours \u00e0 des logiciels ran\u00e7onneurs ou, indirectement, au moyen du vol de donn\u00e9es. Toutefois, il faut aussi souligner que de nombreux pirates informatiques recourent \u00e0 des attaques multivectorielles pour dissimuler leurs activit\u00e9s, et que le piratage et le cyberactivisme amateur demeurent une menace planant sur toutes les marques reconnues. De plus, selon un article publi\u00e9 \u00e0 la fin de l’an dernier dans le Financial Post, les institutions de moins grande envergure sont aussi cibl\u00e9es, mais ne disposent souvent pas des \u00a0m\u00eames ressources pour combattre les attaques (en anglais).\u00a0<\/p>\n

Le r\u00f4le de l’ACEI consistant \u00e0 contribuer \u00e0 la s\u00e9curit\u00e9 accrue des organisations canadiennes a pris naissance gr\u00e2ce \u00e0 un r\u00e9seau DNS anycast secondaire destin\u00e9 au trafic canadien. Nous avons r\u00e9cemment ajout\u00e9 un service de pare-feu DNS qui est actuellement utilis\u00e9 en version pr\u00e9liminaire dans le secteur MUSH (municipalit\u00e9s, universit\u00e9s, \u00e9coles et h\u00f4pitaux). Autrement dit, nous installons une infrastructure DNS dans les IXP canadiens pour prot\u00e9ger les organisations, les titulaires de noms de domaine et les internautes contre les attaques provenant d’ici et d’ailleurs dans le monde.<\/p>\n

Avec un DNS faisant autorit\u00e9, le fait de se doter de plus d’un fournisseur constitue une pratique prudente en mati\u00e8re de gestion des risques<\/p>\n

En ce qui concerne les\u00a0serveurs DNS faisant autorit\u00e9 dans les grandes institutions financi\u00e8res canadiennes (en anglais), les attaques multivectorielles de grande envergure par DDoS perp\u00e9tr\u00e9es contre le DNS, comme celles dont ont \u00e9t\u00e9 la cible plusieurs banques du Royaume-Uni plus t\u00f4t cette ann\u00e9e, constituent la principale menace. Les attaques par DDoS visent \u00e0 submerger les ressources d’un trafic si intense que celles-ci ne sont plus en mesure de traiter les requ\u00eates l\u00e9gitimes. Bien que ces attaques occasionnent des perturbations, elles sont moins probl\u00e9matiques du point de vue des donn\u00e9es personnelles que d’autres types de menaces.<\/p>\n

Dans la premi\u00e8re partie du pr\u00e9sent article, nous nous sommes pench\u00e9s sur l’architecture de premier niveau de plus de 150\u00a0banques des annexes\u00a0I et II, soci\u00e9t\u00e9s de placement immobilier, soci\u00e9t\u00e9s d’assurance et cabinets de courtage. Cet examen \u00a0nous a amen\u00e9s \u00e0 conclure qu’en r\u00e8gle g\u00e9n\u00e9rale, les institutions financi\u00e8res du Canada n’ont pas plus d’un fournisseur de DNS\u00a0(en anglais) \u2013 ce qui constitue pourtant une pratique exemplaire recommand\u00e9e pour assurer une meilleure protection des syst\u00e8mes de messagerie, des sites Web et des applications Web contre les pannes. La mise en place d’un r\u00e9seau secondaire pr\u00e9sente \u00e9galement l’avantage d’\u00eatre facilement r\u00e9alisable, rentable et sans risque comparativement au co\u00fbt r\u00e9el de l’att\u00e9nuation de la moindre attaque. Certaines des attaques r\u00e9centes tr\u00e8s m\u00e9diatis\u00e9es, par exemple celle qui a cibl\u00e9 l’an dernier le fournisseur de DNS Dyn, permettent de constater qu’un nombre incalculable d’organisations peuvent \u00eatre paralys\u00e9es sans n\u00e9cessairement \u00eatre elles-m\u00eames la cible des attaques. On recense d’autres exemples du genre ayant cibl\u00e9 des services infonuagiques et des soci\u00e9t\u00e9s d’h\u00e9bergement.\u00a0<\/p>\n

Pour dresser ce second portrait, en plus de nous pencher sur le nombre de fournisseurs, nous avons proc\u00e9d\u00e9 \u00e0 une analyse plus d\u00e9taill\u00e9e de l’\u00e9tat de sant\u00e9 du DNS d’un groupe s\u00e9lectionn\u00e9 d’institutions au moyen du\u00a0test de configuration du DNS D-Zone. \u00a0<\/p>\n

Pleins feux sur les institutions les plus susceptibles de pr\u00e9senter des probl\u00e8mes de configuration<\/p>\n

Au moins une grande institution financi\u00e8re du Canada \u00e9tait dot\u00e9e d’un DNS que l’on ne peut que qualifier de bizarre. Pour clarifier les choses, pr\u00e9cisons qu’il est question ici de son .com et de son .CA, dont ce dernier redirige simplement vers le pr\u00e9c\u00e9dent. Cette configuration \u00e9tait tr\u00e8s \u00e9trange en raison du fait qu’elle utilisait Akamai. De ce simple fait, l’institution aurait d\u00fb \u00eatre exclue de cette analyse comparative des serveurs de noms faisant autorit\u00e9, mais la situation \u00e9tait tellement inhabituelle que nous en faisons \u00e9tat ici. D’abord, elle n’a pas obtenu de bons r\u00e9sultats lors du test de configuration du DNS. Dans le cadre d’un sc\u00e9nario de r\u00e9seau de diffusion de contenu (CDN), nous ne nous attendons pas n\u00e9cessairement \u00e0 ce que le DNS se comporte \u00ab\u00a0normalement\u00a0\u00bb. Dans le cas qui nous concerne, les serveurs Akamai font r\u00e9f\u00e9rence \u00e0 ce qui semble \u00eatre des serveurs DNS internes (c’est-\u00e0-dire que les r\u00e9ponses qu’ils fournissent ne sont pas conformes au registre). Par-dessus tout, lorsqu’on a examin\u00e9 les r\u00e9ponses des serveurs de noms, on a constat\u00e9 que deux des quatre serveurs \u00e9taient en panne lorsqu’on les a interrog\u00e9s. En r\u00e9sum\u00e9, le DNS semble inutilement compliqu\u00e9 et fonctionne \u00e0 50\u00a0pour cent sans grande redondance apparente ni syst\u00e8me de secours global assur\u00e9 par un deuxi\u00e8me fournisseur de DNS. Nous nous effor\u00e7ons de demeurer positifs et de ne viser personne en particulier, mais nous vous conseillons vivement de soumettre votre DNS \u00e0 un test pour en \u00e9valuer la performance.<\/p>\n

\n
\n
\"Results
\n

Certaines choses ont simplement l’air… bizarre : configuration inhabituelle observ\u00e9e chez une grande banque et indiquant plusieurs probl\u00e8mes analyse r\u00e9alis\u00e9e au moyen de dnstests.www.cira.ca<\/a>)<\/p>\n<\/figcaption><\/figure>\n<\/div>\n<\/div>\n

Pour comprendre la pr\u00e9valence des probl\u00e8mes de configuration, nous avons exclu du reste de cette \u00e9tude les institutions ayant recours \u00e0 des grands fournisseurs de DNS, pr\u00e9sentant une redondance visible ou ayant recours \u00e0 un CND pour leur DNS (p. ex. Akamai). Cette d\u00e9marche visait \u00e0 examiner plus particuli\u00e8rement les institutions les plus susceptibles de pr\u00e9senter des probl\u00e8mes de configuration et \u00e0 reconna\u00eetre la complexit\u00e9 accrue des d\u00e9cisions relatives au DNS dans un sc\u00e9nario de r\u00e9seau de diffusion de contenu multi-serveurs.<\/p>\n

Qu’a r\u00e9v\u00e9l\u00e9 notre examen plus approfondi des DNS des institutions financi\u00e8res? Nous sommes heureux d’annoncer que le DNS du secteur financier est en bien meilleur \u00e9tat que celui des autres secteurs sur lesquels nous nous sommes pench\u00e9s. Nous avons m\u00eame jug\u00e9 inutile de repr\u00e9senter les probl\u00e8mes dans un diagramme. Cette excellente nouvelle est sans doute attribuable \u00e0 la gestion quasi parfaite que les institutions financi\u00e8res ont d\u00fb assurer de la liste des t\u00e2ches des TI pour se prot\u00e9ger contre les attaques dont elles sont depuis si longtemps la cible. Nous avons notamment proc\u00e9d\u00e9 \u00e0 une analyse semblable sur un \u00e9chantillon repr\u00e9sentatif d’organisations exer\u00e7ant leurs activit\u00e9s hors du secteur financier et g\u00e9rant leur propre serveur de noms (accessible \u00e0 la section ressources pour les personnes inscrites), laquelle a r\u00e9v\u00e9l\u00e9 en moyenne\u00a0trois probl\u00e8mes li\u00e9s au DNS pour chaque organisation<\/a>. Par cons\u00e9quent, nous nous penchons sur les probl\u00e8mes mineurs recens\u00e9s le plus souvent lors de cette analyse.<\/p>\n

    \n
  1. Le DNS recourt au TCP lorsque l’UDP n’est pas accessible et, dans le cas de bon nombre d’institutions financi\u00e8res, au moins un serveur DNS n’\u00e9tait pas accessible avec le TCP. Il s’agit d’une situation assez courante due au fait que les responsables des pare-feu et ceux des r\u00e9seaux ne sont pas toujours au diapason.<\/li>\n
  2. Dans plusieurs cas, le serveur de noms n’a pas r\u00e9pondu aux requ\u00eates. Cette situation peut se produire dans quelques circonstances, mais avec un syst\u00e8me DNS bien construit, cela ne devrait jamais \u00eatre n\u00e9cessaire. Premi\u00e8rement, lorsqu’un serveur de noms fait l’objet d’une maintenance. Deuxi\u00e8mement, lorsqu’un serveur n’est tout simplement pas utilis\u00e9 et que personne n’a mis \u00e0 jour ses dossiers DNS aupr\u00e8s du registraire. Troisi\u00e8mement, lorsqu’il existe un probl\u00e8me et que l’institution profite d’une redondance de loin inf\u00e9rieure \u00e0 celle dont elle pense profiter.\u00a0<\/li>\n
  3. Il est n\u00e9cessaire d’avoir un enregistrement PTR lorsqu’on g\u00e8re un serveur de messagerie et, dans plusieurs situations, on a observ\u00e9 un d\u00e9calage des r\u00e9sultats PTR. Cela peut indiquer aux filtres antipourriel que vos courriels ne sont pas l\u00e9gitimes. Cette situation est fort probablement ind\u00e9sirable pour vos repr\u00e9sentants en fonds communs de placement.<\/li>\n
  4. Nous avons recens\u00e9 bon nombre d’enregistrements de serveur de noms sur le m\u00eame serveur d’applications ou la m\u00eame identification r\u00e9seau. Cela n’est pas n\u00e9cessairement une mauvaise chose \u00e9tant donn\u00e9 que la configuration du DNS peut \u00eatre structur\u00e9e de mani\u00e8re \u00e0 assurer la redondance n\u00e9cessaire sur un m\u00eame serveur d’applications. Le fait de disposer de serveurs DNS sur plusieurs r\u00e9seaux diff\u00e9rents ou avec plusieurs fournisseurs de r\u00e9seau constitue cependant une autre pratique exemplaire qui peut facilement \u00eatre mise en place avec un DNS secondaire.\u00a0<\/li>\n<\/ol>\n

    Quoi d’autre? Verrouillage du DNS pour votre nom de domaine<\/h2>\n

    La semaine derni\u00e8re, le piratage par des voleurs du DNS d’une institution financi\u00e8re br\u00e9silienne non d\u00e9sign\u00e9e a fait les manchettes dans le monde de la s\u00e9curit\u00e9. Il s’agissait d’un rapport produit par Kaspersky Lab relatant un\u00a0incident qui s’est produit en octobre 2016<\/a>\u00a0(en anglais) et qui \u00e9tait tr\u00e8s diff\u00e9rent d’autres piratages r\u00e9cents visant la diffusion d’un message cyberactiviste. Dans ce cas, il s’agissait plut\u00f4t d’un r\u00e9acheminement professionnel de l’ensemble des 36\u00a0noms de domaine de la banque vers des sites Web bidon ayant l’apparence des v\u00e9ritables services Internet de la banque. Les pirates avaient \u00e9galement pris le contr\u00f4le de la messagerie \u00e9lectronique de la banque, ce qui lui compliquait la t\u00e2che de communiquer le probl\u00e8me \u00e0 ses clients pendant les cinq heures qu’a dur\u00e9 le probl\u00e8me. Des clients ont ainsi divulgu\u00e9 sur un site factice le nom d’utilisateur et le mot de passe permettant d’acc\u00e9der \u00e0 leur compte, et leur appareil s’est trouv\u00e9 infect\u00e9 par des logiciels malveillants. Nos analystes ne sont pas en mesure de savoir quelles banques disposent d’un domaine .com verrouill\u00e9, mais, pour chaque institution financi\u00e8re, chacun des domaines devrait \u00eatre verrouill\u00e9 \u00e0 partir du registre.\u00a0<\/p>\n

    En conclusion, en soumettant un \u00e9chantillon repr\u00e9sentatif des noms de domaines des institutions financi\u00e8res canadiennes \u00e0 notre test de configuration du DNS, nous avons \u00e9t\u00e9 vraiment tr\u00e8s impressionn\u00e9s par la qualit\u00e9 de la configuration dans l’ensemble. Le probl\u00e8me le plus important que nous ayons relev\u00e9 correspond \u00e0 l’insuffisance d’architectures multi-fournisseurs favorisant le maintien des services en cas de panne chez l’un d’eux. Bien jou\u00e9! Il est maintenant temps de retourner sur le terrain et de confirmer cette victoire!<\/p>\n","protected":false},"excerpt":{"rendered":"

    Nous pr\u00e9sumons que les attaques visant les institutions financi\u00e8res sont motiv\u00e9es par un d\u00e9sir de s’enrichir, soit en volant, en ayant recours \u00e0 des logiciels ran\u00e7onneurs ou, indirectement, au moyen du vol de donn\u00e9es. Toutefois, il faut aussi souligner que de nombreux pirates informatiques recourent \u00e0 des attaques multivectorielles pour dissimuler leurs activit\u00e9s, et que […]<\/p>\n","protected":false},"featured_media":2897,"template":"","meta":{"_acf_changed":false,"content-type":"","inline_featured_image":false,"ngg_post_thumbnail":0,"slim_seo":{"title":"Examen du DNS des soci\u00e9t\u00e9s de services financiers du Canada - CIRA","description":"Nous pr\u00e9sumons que les attaques visant les institutions financi\u00e8res sont motiv\u00e9es par un d\u00e9sir de s'enrichir, soit en volant, en ayant recours \u00e0 des logiciels r"},"footnotes":""},"topic":[1066],"class_list":["post-42353","cira_news","type-cira_news","status-publish","has-post-thumbnail","hentry","cira_news_type-cira-news-type-blogue","cira_topic-cira-topic-cybersecurite","cira_author-robwilliamson-fr"],"publishpress_future_workflow_manual_trigger":{"enabledWorkflows":[]},"_links":{"self":[{"href":"https:\/\/www.cira.ca\/fr\/wp-json\/cira\/v1\/news\/42353","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.cira.ca\/fr\/wp-json\/cira\/v1\/news"}],"about":[{"href":"https:\/\/www.cira.ca\/fr\/wp-json\/wp\/v2\/types\/cira_news"}],"version-history":[{"count":0,"href":"https:\/\/www.cira.ca\/fr\/wp-json\/cira\/v1\/news\/42353\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.cira.ca\/fr\/wp-json\/wp\/v2\/media\/2897"}],"wp:attachment":[{"href":"https:\/\/www.cira.ca\/fr\/wp-json\/wp\/v2\/media?parent=42353"}],"wp:term":[{"taxonomy":"cira_topic","embeddable":true,"href":"https:\/\/www.cira.ca\/fr\/wp-json\/cira\/v1\/topic?post=42353"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}