DNSSEC a été créé il y a dix ans pour éviter la corruption des données et l’usurpation d’identité au sein du système DNS. En effet, chaque navigation Internet fait intervenir des requêtes DNS pour traduire les noms des sites Web en adresses IP. Cela se fait de manière récursive et hiérarchique : quand un serveur de nom d’un sous-domaine ne sait pas répondre, il se réfère aux serveurs du domaine supérieur qui fera de même. Pour un hacker, les occasions d’intercepter les données et de les modifier sont donc nombreuses. DNSSEC propose d’assurer l’intégrité des informations fournies par l’ajout, à chaque échange, d’une signature chiffrée qui va authentifier le serveur de nom. Et le tour est joué.
Seulement voilà, l’implémentation de DNSSEC est loin d’être simple. Tout d’abord, l’adjonction d’une signature chiffrée nécessite des paquets DNS de plus grande taille. Il faut donc utiliser le protocole Extended DNS. « Mais seuls 40 % des "resolvers" [logiciels client pour la traduction DNS, NDLR] supportent actuellement EDNS », explique Raphaël Marichez, consultant sécurité chez Hervé Schauer Consultants.
Le ticket d’entrée est élevé
La signature fait également augmenter sensiblement le trafic réseau et ajoute des temps de calcul. Par ailleurs, DNSSEC suppose la mise en place d’une véritable architecture PKI, ce qui est complexe et coûteux. Enfin, pour que la sécurité soit vraiment assurée, il faudrait installer la technologie dans tous les pays et à tous les niveaux, du serveur DNS dans l’entreprise aux serveurs racines.
Ces différents obstacles expliquent pourquoi, en l’espace d’une décennie, les déploiements DNSSEC sont encore peu nombreux. A ce jour, seuls quatre pays ont implanté ce protocole de sécurité : la Suède, la Bulgarie, le Brésil et Porto Rico. « D’un point de vue économique, le déploiement de DNSSEC à grande échelle ne se justifie pas », poursuit Raphaël Marichez.
Le Domain Name Service est un protocole qui permet de convertir le nom d’un domaine (www.ABinterNETwork.fr par ex.) en son adresse réelle (adresse IP) permettant aux routeurs de trouver le serveur sur Internet.
Hors une faille de DNS Cache Poisonning (connue depuis longtemps mais non corrigé car elle semblait compliquer à exploiter) vient d’être publiquement dévoilée lors d’une conférence par Dan Kaminsky) (avant qu’il fasse la démonstration début août de son exploitation). Tous les serveurs DNS sont concernés (ceux connectés sur Internet) par cette faille de sécurité et il est urgent d’appliquer un correctif (déjà publiés entre autre par Cisco, Microsoft, Red Hat,… pour leurs produits) car cette faille permet à un pirate de se faire passer pour un serveur « fiable » et autorisé.
Les attaques informatiques sont considérées par le président de la république comme critiques, au même niveau que les menaces terroristes, nucléaires et biologiques.
Les cyber-attaques telles qu’identifiées dans le Livre blanc peuvent provenir de divers types d’acteurs : hackers, groupes terroristes, Etats…. Elles peuvent utiliser diverses armes : virus, ‘chevaux de Troie’, blocages malveillants… Et viser plusieurs objectifs : terrorisme, espionnage militaire ou économique…. Le document pointe l’importance de la défense cybernétique et de la guerre de l’information dans un univers d’informatique quantique et le développement des nouveaux systèmes de renseignements satellitaires.
Une solution de cryptage quantique sur fibre optique à la volée en lien gigabit et prochainement en 10Gbit/s pour sécuriser les liaisons fibres amenées a se développer de plus en plus.
Le principe est basé sur le mécanisme quantique qui change d’état dès qu’on l’observe – le mécanisme est utilisé pour la clé de cryptage et donc celle ci change si on cherche à l’intercepter ce qui rend le décodage impossible.
C’est une première mondiale pour un opérateur. Dès septembre, l’opérateur de fibre noire Neo Telecoms (acquis en 2014 par Zayo) va proposer des liens en fibre optique sécurisés par cryptage quantique. « On pensait que la fibre, de par sa nature, n’était pas facilement piratable. Mais on s’est rendu compte que ce n’était pas aussi simple, explique Didier Soucheyre, président de Neo Telecoms. Certes, dans un fourreau, il faut savoir quelle est la fibre [parmi les centaines contenues dans un câble, NDLR] sur laquelle il faut se brancher et ensuite retrouver l’information parmi les dizaines de gigabits de données qui transitent. Mais la fibre optique présente des risques, et la possibilité de la pirater a été démontrée. Notamment au niveau de l’entrée des immeubles, là où seuls quelques brins sont déviés. D’autant plus que le matériel de piratage tient dans une simple mallette. »
L’IOS de Cisco, pourtant propriétaire et donc "protégé", est piraté et un rootkit (virus s’implémentant dans le coeur de l’OS et donc non détectable par celui-ci) existe maintenant pour cette plateforme ouvrant ainsi la voie à de futurs pirates. (Il y avait eu une fuite d’une partie des ligne de code de IOS qui a peut être servit à développer ce rootkit).
Donc attention aux checksums des mise à jour pour s’assurer de l’intégrité de celles-ci. Enfin, tant que les serveurs web Cisco ne seront pas piratés.
La Voix sur IP est de plus en plus présente dans les solutions bureautiques et industrielles afin d’en maîtriser la gestion et de diminuer les coûts. Application très jeune, qui relève parfois du service téléphonique et non du service informatique, un pirate pourrait profiter de ses faiblesses en terme de sécurité pour : pénétrer dans le réseau informatique, mettre en place une écoute, bloquer l’accès à ce service (déni de service), passer des communications à votre insu, récupérer des informations confidentiels en se faisant passer pour un autre (on parle de vishing : contraction de Voip et pISHING) ou vous envoyer du spam téléphonique (on parle de spit : Spam Over Internet Telephony).
Cet article de 01net, qui si il est un peu court, présente bien les risques auxquels vous vous exposez en pensant diminuer vos coûts téléphoniques. Il présente aussi, en fin d’article, un tableau récapitulatif des méthodes à mettre en place pour se protéger.
Voix sur IP : les 5 menaces qui pèsent sur votre réseau La convergence voix-données hérite des vulnérabilités de la téléphonie traditionnelle comme de celles des coeurs de réseau. Revue de détail des risques et des méthodes de protection.
La sécurité rentre dans les routeurs d’entreprises. Avec ce genre d’équipements réseaux, les utilisateurs ne devraient bientôt plus pouvoir accéder aux sites X depuis le bureau et se rabattre… sur le travail ?! En tout cas, ce filtrage basé sur la réputation des sites est un pas de plus pour un surf « protégé ».
Le spécialiste de la sécurité Trend Micro vient d’annoncer qu’il renforçait son partenariat avec l’américain Cisco, numéro un sur le marché des routeurs et des commutateurs. Concrètement, cette association aboutit à l’intégration des services de Web Reputation de Trend au sein des routeurs ISR (Integrated Services Router) de l’américain.
« Notre technologie de Web Reputation évalue la dangerosité de plus de trente milliards de sites. Elle sera désormais intégrée de facto aux routeurs ISR de Cisco. Pour chaque requête qui traversera un routeur ISR, celui-ci interrogera nos bases de données situées dans nos datacenters pour savoir si le site visité est dangereux ou pas. Il prendra ensuite les décisions qui s’imposent en fonction de la politique de sécurité définie par l’administrateur : autorisation d’accès, blocage complet, quarantaine, limitation d’accès ou autre », explique Jerome Law, architecte solutions au sein de Trend Micro. A la différence du filtrage d’URL, qui se focalise sur les contenus des sites (pornographie, jeux…), la Web Reputation se focalise sur l’insécurité informatique qu’ils peuvent provoquer.
Eh oui, on pense habituellement que nos enfants s’amusent avec leurs ordinateurs pour jouer, tchatter, blogger, voire devenir des pirates en herbe, et voila qu’ils nous surprennent en devenant administrateur systeme à 11 ans ou qu’ils travaillent sur les programmes de decrytage pour la NSA (National Security Agency).
11-Year-Old Becomes Network Admin for Alabama School
alphadogg points out a story about 11-year-old Jon Penn, who took over control of a 60-computer school network in Alabama after the old administrator suddenly left. Penn provides technical support, selects software, and teaches his classmates about computers.
Merci à Géraldine Fullsack / AEMO pour cette information
Il est encore plus surprenant de voir que le très sérieux site de la NSA investi pour apprendre le cryptage / décryptage aux enfants sur leur site dédié CryptoKids. Les jeux proposés sont éducatifs dans un style ludique avec toutes les astuces pour trouver les solutions. Il y a aussi une rubrique sur l »histoire avec les premiers outils de codage. A découvrir absolument (et faire découvrir à votre enfant). Même les plus agés apprennent tout ce qu’il faut savoir sur les codes. Le site à un sous-titre : CryptoKids : les futurs crypteurs et casseurs de codes ! cela pourrait même en devenir effrayant : non ?!
La sécurité a encore de beuax jours devant elle. Et encore, on ne parle ici que des USA. Quid du reste du monde. En tout cas, vigilance est mère de sureté donc avant de cliquer sur un lien dans un mail, prenez 2 secondes pour réfléchir (et consultez des sites comme www.hoaxbuster.com ou utilisez une barre anti-phishing)…
Moins d’Américains ont été victimes de fraudes en ligne en 2007, mais la totalité des montants détournés n’a jamais été aussi élevée selon le rapport annuel du FBI concernant les crimes commis sur Internet.
La somme totale extorquée s’est montée à près de 240 millions de dollars l’année dernière, contre 231 millions en 2006. Le nombre des victimes, qui ont officiellement porté plainte auprès de la police fédérale est quant à lui descendu d’environ 207 500 personnes il y a deux ans, à 206 900 internautes en 2007.
Des e-mails piégés
D’après le rapport, le courrier électronique reste le principal mécanisme frauduleux. Il est utilisé dans 73,6 % des arnaques, comme dans les tentatives de phishing (hameçonnage) qui incite les internautes à se connecter sur un faux site aux couleurs de leur banque par exemple.
Les plaintes reçues par le FBI concernent aussi bien les fraudes à la carte bancaire, que le vol de données personnelles ou la non réception de produits commandés sur des sites marchands plus ou moins sérieux.
Suite au bulletin du 26 mars de Cisco, il est fortement conseillé de mettre les derniers correctifs sur les routeurs Cisco.
Risques de déni de service et d’interception de données
Le bulletin du 26 mars fait état de cinq vulnérabilités. Les quatre premières peuvent provoquer des dénis de services et affectent des services réseau comme VPDN (Virtual Private Dial-up Network), Multiple DLS, UDP, VPN, OSPF et MPLS. La cinquième vulnérabilité, quant à elle, permettrait d’intercepter des données au travers du service Multicast VPN.
Pour chaque vulnérabilité, le site de Cisco indique précisément les versions d’IOS faillibles. Le cas échéant, les administrateurs pourront donc voir vers quelle version ils peuvent migrer. Pour ceux qui ne souhaitent pas migrer, le site propose des solutions de contournement ou des patchs logiciels.
Les réseaux Ethernet sont pour internet, ce que les canalisations sont pour l'eau. A tout problème de flux, il s'agit avant tout de trouver un bon plombier !
DNSSEC a été créé il y a dix ans pour éviter la corruption des données et l’usurpation d’identité au sein du système DNS. En effet, chaque navigation Internet fait intervenir des requêtes DNS pour traduire les noms des sites Web en adresses IP. Cela se fait de manière récursive et hiérarchique : quand un serveur de nom d’un sous-domaine ne sait pas répondre, il se réfère aux serveurs du domaine supérieur qui fera de même. Pour un hacker, les occasions d’intercepter les données et de les modifier sont donc nombreuses. DNSSEC propose d’assurer l’intégrité des informations fournies par l’ajout, à chaque échange, d’une signature chiffrée qui va authentifier le serveur de nom. Et le tour est joué.
Eh oui, on pense habituellement que nos enfants s’amusent avec leurs ordinateurs pour jouer, tchatter, blogger, voire devenir des pirates en herbe, et voila qu’ils nous surprennent en devenant administrateur systeme à 11 ans ou qu’ils travaillent sur les programmes de decrytage pour la NSA (National Security Agency).
