Appréhender les risques du détournement de sous-domaines, quelles solutions pratiques pour 2025

Présentateur: Bonjour à tous. Bienvenue aujourd'hui à ce webinar consacré aux risques de détournement de sous-domaines avec les solutions pratiques que nous envisageons pour 2025. Je souhaitais faire quelques petites annonces avant le début de ce webinar. Tout d'abord, vous rappeler que l'ensemble des participants seront en mute pour la durée du webinar.

Je voulais également vous préciser que vous pouvez d'ores et déjà poser vos questions dans la boîte de dialogue Q&A, qui est dédiée aux questions, dès maintenant. Nous y répondrons donc à la fin du webinar. Vous avez également un certain nombre de widgets qui sont disponibles et qui vous permettent de configurer l'expérience utilisateur durant ce webinar.

Et, enfin, je voulais vous rappeler que l'ensemble des ressources nécessaires dans le cadre de cette présentation aujourd'hui sont disponibles. Vous avez accès à l'ensemble des documents utiles à la présentation d'aujourd'hui ainsi que, naturellement, la présentation, qui sont disponibles en téléchargement depuis la plateforme.

Pour nous accompagner et surtout pour nous guider aujourd'hui durant cette présentation, j'accueille Yan Desombres. Yan Desombres est responsable commercial grands comptes chez CSC. Il est basé à Paris et il a un peu plus de 12 ans d'expérience dans notre secteur et il va aujourd'hui nous guider à travers ce webinar dont je vais vous présenter l'agenda tout de suite.

Donc, nous aurons une première partie dans laquelle nous allons rapidement couvrir ce qu'est le piratage de sous-domaines, comprendre dans une partie juste après quelle est finalement l'histoire et l'évolution de ce qu'on appelle le dangling DNS, qui correspond donc aux risques de piratage de sous-domaines. Nous verrons dans une troisième partie comment finalement aborder et appréhender et régler les problèmes liés au piratage de sous-domaines.

Et ensuite, dans une dernière partie, Yan nous présentera quelques informations utiles venant du rapport de CSC sur les vulnérabilités en matière de piratage de sous-domaines. Donc, nous allons rentrer maintenant dans le vif de notre présentation et je vais laisser la parole à Yan.

Yan Desombres: Merci Patrick. Bonjour à tous. Donc, comme Patrick le disait, on va commencer par une petite vidéo de quelques minutes qui explique la problématique autour du dangling DNS et les risques de détournement de sous-domaines.

Vidéo: Les entreprises du monde entier utilisent internet pour toutes leurs opérations, messageries, sites web, authentifications et voix sur IP. Tout au long de l'année, les entreprises lancent des sites promotionnels, de nouveaux services et de nouvelles applications.

Avant que les utilisateurs arrivent sur le site web voulu, pour accéder au contenu, il y a plusieurs étapes. Premièrement, le propriétaire du site fait appel à un prestataire web afin d'héberger une page d'accueil pour son opération marketing. Ensuite, il contacte son administrateur DNS ou son équipe informatique pour tout connecter. Dans les coulisses, un grand nombre de ressources sont mobilisées. Pour que le site puisse afficher du contenu en direct, il faut faire le lien avec l'élément central, à savoir le DNS.

Une fois la campagne terminée, l'équipe marketing réalise que le site web n'est plus nécessaire et le fait supprimer auprès de l'hébergeur. Ce que l'équipe marketing ne réalise pas, c'est qu'elle doit également informer l'équipe DNS pour supprimer l'enregistrement DNS. L'enregistrement DNS, qui servait à diriger les utilisateurs vers la destination, est donc conservé, c'est ce que l'on appelle le dangling DNS.

Au fil du temps, ces enregistrements DNS s'accumulent et peuvent servir à lancer une attaque appelée détournement de sous-domaine. Les cybercriminels surveillent le web et se demandent où est le contenu associé. Ils peuvent alors contacter l'hébergeur web et demander un nom d'hôte spécifique si celui-ci n'est pas utilisé.

Aucune justification n'est exigée. Les cybercriminels utilisent les enregistrements dangling DNS pour publier leurs contenus malveillants. Ils peuvent facilement mettre en ligne un site usurpé et attirer du trafic réel pour leurs contenus frauduleux qui utilisent un nom d'hôte abandonné. Cette méthode permet de contourner les protocoles de sécurité qui détectent les cybercriminels et leurs activités.

Les équipes de sécurité ne peuvent pas détecter une faille et les utilisateurs finaux ne voient pas la différence. Les cybercriminels peuvent même obtenir un certificat numérique validé gratuitement pour ajouter le cadenas https et avoir l'air plus authentique. À mesure que l'activité se développe, une grande quantité de dangling DNS s'accumulent et les équipes hésitent à supprimer des enregistrements DNS qu'elles ne connaissent pas.

C'est un réel défi pour les entreprises de gérer des actifs à l'extérieur du pare-feu, où il y a plusieurs surfaces d'attaque externes complexes. CSC a développé une solution de surveillance des sous-domaines qui offre des analyses complètes et des alertes quotidiennes en cas de changement, ce qui vous permet d'agir rapidement et de supprimer l'enregistrement DNS problématique. Recevez chaque jour un rapport complet sur tous vos enregistrements des zones DNS et supprimez enfin cette vulnérabilité difficile à gérer entre les différents services. Sécurisez la continuité, la réputation et le revenu de votre organisation avec la surveillance des sous-domaines de CSC.

Yan Desombres: Donc, après cette petite vidéo un petit peu d'historique, justement, comment ce risque autour du dangling DNS s'est créé et a évolué au cours du temps. Donc, on peut donner une date de début du risque aux alentours de 2005. À cette époque-là, en fait, les sociétés, quand elles voulaient avoir leur place sur le net et être en ligne, elles créaient en général un datacenter interne. Et à ce moment-là, en fait, il n'y avait aucune menace parce que l'adresse IP, du coup, était interne et la société n'avait pas l'intention de donner cet accès IP à tiers qui pourrait faire des choses malveillantes avec.

Donc, on avait un contrôle total et la seule chose qui pouvait se passer, c'était éventuellement une violation des serveurs. Quelques années plus tard, donc cinq ans plus tard, les sociétés ont commencé à se dire que l'hébergement et la gestion du data center, c'était une responsabilité qui était importante et donc qu'il valait mieux externaliser ça vers des d'autres sociétés dont c'était le cœur de métier. Et à ce moment-là, le risque de détournement de sous-domaines était encore limité, car c'est les sociétés qui géraient justement ces data centers.

Leur activité, ce n'était pas non plus de recycler des adresses IP ou des hostnames. Donc, dans la théorie, c'était possible qu'il y ait du dangling, c'était possible qu'il y ait du détournement, mais, en soi, ça n'a pas vraiment été le cas. Là où le risque s'est créé, c'est à partir de 2015, où il y a une tendance, en fait, générale à migrer tout sur le cloud. Et à ce moment-là, c'est là que le risque réel de détournement de sous-domaines est apparu. En fait, les prestataires cloud, ils recyclent les adresses IP et les hostnames, donc aux personnes qui veulent les utiliser, à partir du moment où l'adresse IP ou le hostname est disponible. Donc, peu importe l'historique derrière l'adresse IP, si elle est disponible, ça va être mis à disposition de la personne qui le demande.

Et c'est là que le détournement de sous-domaine, en fait, va se produire. Donc, ce qu'on peut voir, c'est que c'est une évolution au cours du temps d'une absence d'hygiène de zone qui, au début, avait peu ou pas d'importance. En fait, on arrive maintenant à une situation où les sociétés doivent absolument se pencher sur la problématique parce qu'il y a ce risque important de détournement de sous-domaines.

D'ailleurs, ça en est à un point où même l'ICANN, donc l'organisme qui régit les règles du monde des noms de domaine, a publié une déclaration sur ce risque. Donc, pour ceux qui connaissent l'ICANN, c'est assez rare de leur part qu'ils fassent ce type de déclaration, donc ça montre bien l'importance du risque et la manière dont il est pris en compte désormais.

Maintenant qu'on a identifié le risque, on va regarder comment les entreprises peuvent le réduire. Donc, en gros, il y a trois étapes. Si vous vous souvenez de la vidéo qu'on a montrée tout à l'heure, en fait, les cybercriminels, se nourrissent de notre manque d'hygiène cyber. Donc, pour les sociétés qui ont déjà une bonne hygiène cyber et surtout une hygiène de zone, le risque est réduit.

Mais quoi qu'il en soit, actuellement, ce qu'on ce qu'on voit, c'est que le dangling DNS, c'est quelque chose qui s'est construit au cours des 20 dernières années. Donc, pour les personnes par exemple de l'IT ou autres qui vont gérer les zone file, c'est dur de décider maintenant quelles entrées ils vont garder ou alors quelles entrées ils vont supprimer. Donc, la première étape, en fait, ça va être de faire un nettoyage. On regarde les zones et on va retirer ce qui doit l'être. Donc, à partir du moment où vous avez fait ce nettoyage, vous êtes dans une meilleure position. Mais ce, une fois le nettoyage fait, en fait, il faut maintenir ça.

Les cybercriminels font ce type de recherche au quotidien pour détecter justement ce dangling DNS. Donc, une fois que vous avez fait ce premier nettoyage, que vous faites du monitoring régulier, donc quotidien, à ce moment-là, il faut réagir. Donc, à ce moment-là, vous avez seulement deux options. Soit vous contactez votre hébergeur web pour rajouter du contenu, soit, tout simplement, vous supprimez l'entrée dans votre zone file, qui correspond du coup à ce sous-domaine qui est actuellement en dangling. Donc, quand on utilise un fournisseur cloud, ce processus-là, il va falloir l'intégrer dans les process pour se protéger justement du risque.

Donc, pour résumer, il faut faire une revue et un nettoyage des zones actuelles, avoir un service de monitoring pour surveiller quotidiennement la création de nouveaux dangling, et enfin, réagir aux alertes dès qu'il y a un changement, soit en rajoutant du contenu, soit en supprimant les entrées qui sont en dangling.

Maintenant, on va regarder un petit peu les highlights du rapport que CSC a fait concernant le détournement de sous-domaines. Alors, ce qu'on voit, c'est que maintenant, les entreprises mondiales, de toute façon, elles dépendent d'Internet pour tout, les sites internet, les adresses email, les authentifications, les voix sur IP, etc., etc. Donc, tout ça, tout ce que je viens de mentionner, ça fait partie du DNS.

Donc la surface d'attaque externe pour l'entreprise, le DNS en fait partie et il faut que ce soit surveillé en continu pour identifier justement les attaques et les fraudes cyber et tous les risques associés. Donc, pour rappel, le DNS, c'est domaine name server, c'est le répertoire téléphonique de de l'internet. Donc, c'est là où on va trouver les entrées qui vous permettent en fait de diriger votre requête vers le site Internet, vers l'email, enfin vers l'hébergement mail, etc. Ça va convertir votre www.monsite.com vers une adresse IP où le service va tourner, donc email, encore une fois, site internet etc. Donc, pour les cybercriminels, en fait, ce type de vecteur de risque, c'est une aubaine parce qu'ils n'ont pas besoin de compétences techniques super avancées pour faire un détournement de sous-domaine.

Un peu de data mining, ils repèrent qu'il y a une entrée dans, enfin qu'il y a un sous-domaine qui renvoie vers un code 404, ils s'adressent à l'hébergeur cloud. Si l'adresse IP est disponible, le détournement, en fait, il est complété. Donc très peu d'efforts pour des résultats qui sont très intéressants. D'un point de vue justement du rapport, ce qu'on a vu dans notre rapport, nous, on a analysé les six millions d'entrées DNS qui sont en gestion chez nous.

Parmi elles, il y en a 440 000 qui sont des records et des CNAMEs qui pointent vers de l'hébergement cloud. Dans ces 440 000, on en a 21% qui pointent vers du contenu qui ne résout pas, donc vulnérable au détournement de sous-domaines, encore une fois ce qu'on appelle du dangling DNS. 63% d'entre elles renvoient un code 404 not found ou alors un code 502 bad gateway et on a également 38% qui montrent un code internal error.

Donc, on voit que les sociétés doivent vraiment se pencher sur l'hygiène de leur zone et opérer ce nettoyage et cette suppression régulière en fait du dangling DNS. Pour continuer sur le rapport CSC sur le détournement de sous-domaines, dans la figure une que vous voyez sur la gauche, ce qu'on peut voir, c'est que 82,6% des entrées analysées pointent vers des hébergeurs cloud. Donc ça montre vraiment la tendance qu'il y a eu ces dix dernières années pour les entreprises à externaliser leurs activités vers des fournisseurs cloud plutôt que de recourir à des data centers internes traditionnels.

Donc, évidemment, l'hébergement cloud, ça permet aux entreprises d'accéder à des nouvelles technologies, de gagner en agilité, en dynamisme et d'un certain côté c'est plus rentable. Mais, du coup, ça les expose aussi à des risques accrus parce qu'elles doivent désormais gérer beaucoup plus d'entrées dans leur zone faille. Et le risque, il est plus important que jamais et il augmente. Je pense que beaucoup d'entre vous l'ont vu au cours des dernières années. En fait, le nombre d'entrées que vous avez dans vos zones augmente et ce n'est pas une tendance où on voit que ça se réduit.

D'ailleurs, sur la figure droite, ce qu'on peut voir sur ce graphique, 58% des entreprises qui ont été analysées, semblent réussir à consolider leurs sous-domaines sur un ou deux fournisseurs cloud. Par contre, ce qu'on voit aussi, c'est que ces 58%, ça représente en fait les sociétés qui ont un portefeuille de noms de domaine restreint et donc un nombre d'entrées DNS restreint et donc ça, c'est plus facile à gérer.

À l'inverse, 11% des entreprises qui ont été analysées dans l'étude, utilisent cinq ou plus de fournisseurs cloud. Donc, pour ces entreprises, c'est plus compliqué à gérer. Et en fait, ces 11% d'entreprises, ça représente plus de la moitié des enregistrements DNS qu'on a analysés. Et ces entreprises analysées, leurs portefeuilles, ce sont souvent des portefeuilles de plusieurs milliers de noms de domaines et de plusieurs milliers en fait d'enregistrements DNS. Donc, pour elles, c'est beaucoup plus dur de centraliser et d'avoir une gestion de l'ensemble de leurs enregistrements DNS. Donc, d'une manière générale, chez CSC, c'est quelque chose qu'on recommande de consolider chez le prestataire qui va produire le meilleur service et le plus sécurisé, etc.. Et ça, c'est valide pour l'hébergement web, mais aussi pour les noms de domaine, les certificats SSL, le DNS etc..

Si on regarde les acteurs clés du marché, ce qu'on peut constater, c'est que plus de 96% des enregistrements DNS qu'on a analysés sont répartis entre cinq des plus grands fournisseurs cloud. Donc on va avoir du Godaddy, Cloudflare, AWS, Microsoft et Akamai. Donc, qu'est-ce qui se passe si les entreprises ne s'attaquent pas à ce problème ?

Là, encore une, fois on l'a vu deux slides avant, 21% des entrées qu'on a analysées sont potentiellement détournables. Donc, qu'est-ce qui se passe quand ce problème est utilisé par les cybercriminels ? On peut regarder du côté de Microsoft. Alors, l'article date un petit peu, mais il est toujours valide si on veut se pencher sur les impacts que le détournement de sous-domaines peut avoir. Donc, en l'occurrence, pour Microsoft, il y a quelques années, ils ont subi le détournement de 240 de leurs sous-domaines qui étaient hébergés sur leur plateforme Azur . Et le but des cybercriminels, lorsqu'ils ont fait ce détournement, c'était de mettre du contenu qui distribuait des malwares.

Donc, si des entités comme Microsoft peut être impactées, en fait tout le monde peut l'être. Et après, encore une fois, ça peut être pour distribuer des malwares mais ça peut aussi être pour faire du phishing, ça peut être pour tout un tas de raisons. D'ailleurs, je voulais revenir un peu sur une des pages qu'on voit dans la vidéo avec la question de savoir pourquoi les cybercriminels vont s'attaquer à mon nom de domaine ?

Parce que depuis des années, ils utilisent des noms de domaine qui peuvent ressembler ou alors n'importe quel nom de domaine random et ça marche déjà très bien. Mais pourquoi est-ce qu'ils s'attaqueraient à mon nom de domaine ? En fait, la plupart des entreprises, maintenant, font de plus en plus d'efforts pour protéger leur entreprise contre les emails frauduleux, donc avec des filtres, avec des politiques SPF, DKIM, DMARC. Donc, on a de plus en plus, en fait, de cybercriminels, qui se retrouvent avec leurs emails qui vont être bloqués par le filtre ou alors par les politiques.

Si j'utilise votre sous-domaine qui est hébergé chez votre registrar corporate, qui est hébergé sur les bons DNS, il y a de fortes chances qu'en fait, ça passe les filtres. Et, pareil pour les liens, quand vous avez un lien URL, qu'est-ce qu'on apprend aux employés, qu'est-ce qu'on apprend à notre famille ? Regarde le lien, va tout à droite et regarde quel est le nom de domaine. Et si ça correspond au site Internet officiel de la société qui est censée te contacter, ça veut dire que ton espace, enfin que l'email ou autres, est sécurisé, donc, par exemple cscdbs.com.

Là, justement, c'est ce que le cybercriminel va rechercher. Là, il va utiliser un de vos sous-domaines donc il gagne en légitimité et il va utiliser votre marque pour que l'attaque qu'il met en place ait plus de chance de fonctionner, donc que ce soit du phishing, de la distribution de malwares et autres. Donc, plus généralement, le monitoring de sous-domaines, c'est un élément que vous pouvez mettre en place pour vous protéger contre ce type de vecteur externe.

Et chez CSC, nous, on a une approche justement défense en profondeur qui contient plusieurs couches. Et donc, dans cette défense en profondeur, ça marche en oignon, on va dire ça comme ça, en couches d'oignon. On commence par l'extérieur avec le choix du prestataire, donc un prestataire corporate. Puis, on va s'assurer que les accès à la plateforme sont sécurisés avec de la double authentification, avec de l'IP validation, avec du SSO. Ensuite, on va vouloir avoir un contrôle sur les accès utilisateurs.

Et enfin, il y a des fonctionnalités supplémentaires de sécurité que vous pouvez mettre en place. Donc, par exemple, d'un point de vue emails, politiques SPF, DKIM, DMARC.

Ensuite, d'un point de vue nom de domaine, vous pouvez mettre en place le MultiLock, qui s'appelle aussi verrous de niveau registre auprès de l'NSEC. Donc, l'NSEC appelle le MultiLock le verrou de niveau registre dans leur rapport pour l'acquisition et la bonne gestion des noms de domaine.

Au point de vue du DNS, vous pouvez mettre en place également le MultiLock. Ça permet à la fois d'éviter le détournement de noms de domaine mais aussi le détournement de DNS. Mais, vous avez aussi le DNSSEC.

Et encore une fois, le monitoring de sous-domaines, ça permet de maintenir l'hygiène de zone, donc ça fait partie de cette défense en profondeur. Et enfin, d'un point de vue SSL, vous pouvez penser à mettre en place le CAA Record. C'est gratuit, ça se met dans le zone file. C'est une petite entrée qu'on va mettre en place et le concept, ça va être de déclarer que pour tel nom de domaine, seul telle ou telle autorité de certification va avoir l'autorisation d'émettre un certificat SSL.

Donc, dans le cas où vous avez subi un détournement de sous-domaine, le cybercriminel va certainement vouloir avoir la légitimité en installant un certificat SSL, donc pour avoir le https. Il va souvent s'adresser à une autorité de certification gratuite, délaisse, Let's Encrypt ou autres. Si vous avez mis en place la politique CAA et que vous avez déclaré, par exemple, CSC, c'est leproxy secure, quand il va vouloir s'adresser à cette autorité de certification non corporate, il neva pas pouvoir émettre le certificat. Il y a quand même de fortes chances qu'il ne vienne pas s'adresser à CSC pour émettre un certificat. De toute façon, on refuserait sa demande.

Donc voilà, ça ce sont des choses que vous pouvez mettre en place. Et du coup, notre message, c'est vraiment de penser à mettre toutes ces petites choses et ça crée cette défense en profondeur autour de vos actifs digitaux.

En parlant de ça du coup, j'imagine et j'espère que ceux qui connaissent CSC, qui sont clients chez nous depuis des années, vous avez réalisé que chez nous, on fait vraiment un focus sur la sécurité. Donc, pour donner une idée des évolutions qu'on a apportées en termes de sécurité autour des dernières années, on a fait cette frise. Donc, que ce soit en termes d'accès ou dès 2012 on a proposé l'IP validation à nos clients. Ensuite, en 2014, la double authentification optionnelle qui est devenue obligatoire en 2017. Et d'ailleurs, ça me rappelle qu'à l'époque, quand on l'a passée obligatoire, on avait pas mal de clients qui étaient mécontents, mais si on regarde maintenant avec un peu de recul, en fait, c'est devenu vraiment une norme dans le secteur pour protéger les accès. Donc à l'époque, on l'a poussée parce que vraiment, comme le reste de ce qu'on fait, on estime vraiment qu'on est là pour pousser le marché à faire les bonnes choses et adopter les bonnes conduites.

Pareil, au niveau des évolutions des services. 2013, on propose le MultiLock. Je regarde les slides, en 2022, le 3D Domain Monitoring. En 2022 également, Ultimate DNS, qui permet d'avoir une double infrastructure DNS pour avoir de la redondance sur votre DNS, la protection contre la fraude qui va détecter du phishing. Le sous-domaine monitoring en 2023. D'ailleurs, il n'apparaît pas ici sur la slide, mais, pour ceux qui gèrent les certificats SSL dans vos sociétés, vous avez certainement vu que là, en juin, la phase de domaine check validation, qui pouvait avant se faire par rajout de CNAME dans le zone file ou par email, la validation par email disparait.

Donc, vous allez être obligés maintenant de faire de la validation par CNAME. CSC par exemple, va faire, donc cette phase s'appelle DCV, Domain Check Validation, et CSC, là, va lancer une nouvelle fonctionnalité, DCV as a service, où, en fait, vous aurez une validation agnostique DNS agnostique, de votre phase de DCV, donc, encore une fois pour simplifier les missions des certificats SSL, surtout là avec le temps de validité des certificats, qui va se réduire dès l'année prochaine en passant à 200 jours, puis l'année d'après à 100 jours, etc. Voilà, chez CSC, on prend toujours les devants pour proposer un maximum de sécurité et d'options à nos clients.

D'autres choses qu'on met en place, ce sont des intégrations, par exemple la SecurityScorecard, Palo Alto, FireEye. Donc voilà, pareil, des intégrations, des services, des fonctionnalités supplémentaires au niveau des accès pour s'assurer que vos accès sont sécurisés et que vos actifs digitaux le sont également.

Donc c'était la dernière slide de la présentation.