Que penser de l’alerte de la NSA sur le DNS sur HTTPS (DoH) et le risque de cyberattaques ?
(2021/01/20)
- Reference: 2021-01-20T01_00_00Z
- News link: https://www.toolinux.com/?que-penser-de-l-alerte-de-la-nsa-sur-le-dns-sur-https-doh-et-le-risque-de
- Source link:
Que penser de l’alerte de la NSA sur le DNS sur HTTPS (DoH) et le risque de cyberattaques ?
mercredi 20 janvier 2021
La NSA vient de publier une alerte au sujet du protocole DoH. Problème : " Ils ont été conçus pour garantir la confidentialité des utilisateurs grand public sur Internet", estime un spécialiste du secteur .
En juin dernier la NSA présentait, aux États-Unis d’Amérique, un programme pilote d’un DNS « sécurisé » s’adressant aux fournisseurs et aux sous-traitants de la défense américaine en vue d’améliorer la cybersécurité de ces derniers.
Anne Neuberger, directrice de la NSA [1]expliquait alors que cette initiative résultait d’une " analyse ayant mis en évidence que l’utilisation d’un DNS sécurisé réduirait de 92 % la capacité des attaques des logiciels malveillants utilisant des serveurs de commande et contrôle ".
Dans la continuité de ce projet, la NSA [2]vient de publier une alerte au sujet du protocole DoH [Domain Name System (DNS) over Hypertext Transfer Protocol over Transport Layer Security (HTTPS)].
Cette mesure vise à accroître la confidentialité et la sécurité en utilisant le protocole HTTPS pour crypter les données entre le client DoH et le résolveur DNS basé au DoH.
Dans cette alerte, la NSA prévient que l e DoH peut être utilisé abusivement par des attaquants , s’il n’est pas correctement déployé dans les entreprises. Par conséquent, pour les réseaux des entreprises, la NSA recommande de n’utiliser que des résolveurs DNS désignés - soit un serveur DNS de l’entreprise, soit un service hébergé en externe.
Pour Clément Marcelot, Solution Architect chez [3]Infoblox , « le DNS sur HTTPS (DoH) et le DNS sur TLS (DoT) ont été conçus pour garantir la confidentialité des utilisateurs grand public sur Internet. Ils n’ont pas été conçus pour servir les environnements informatiques des entreprises, car la confidentialité des transferts de données n’y est généralement pas une priorité . »
Le spécialiste en gestion de réseaux d’ [4]Infoblox poursuit : " La plupart des entreprises doivent être en mesure de surveiller le trafic qui circule sur le réseau à des fins de sécurité . Elles chercheront donc généralement à bloquer le DoH et le DoT. Certaines techniques simples peuvent d’ailleurs être utilisées à cette fin. Si pour une raison ou une autre, elles décident de les mettre à l’œuvre ou les autoriser, le DoT doit dans ce cas être préféré au DoH. Le DoT fonctionne au niveau du système d’exploitation, ce qui peut garantir un comportement et un contrôle identiques pour toutes les applications et tous les services exécutés sur le terminal, tandis que le DoH fonctionne au niveau applicatif, ce qui signifie que chaque application (y compris les logiciels malveillants) pourrait avoir un comportement DoH différent. Et bien sûr, dans les deux cas, les entreprises doivent utiliser des résolveurs DoH/DoT fiables (et de préférence internes). Certains malwares utilisent déjà le DoH comme un mécanisme de commande et de contrôle . La raison en est que certains services DoH n’exercent pas un contrôle strict sur leur utilisation, par exemple ils n’imposent pas systématiquement l’utilisation du champ MIME, que certains pare-feu tentent d’utiliser pour bloquer le trafic indésirable du DoH. "
[5]
[1] https://fcw.com/articles/2020/06/18/williams-nsa-dns-pilot.aspx
[2] https://media.defense.gov/2021/Jan/14/2002564889/-1/-1/0/CSI_ADOPTING_ENCRYPTED_DNS_U_OO_102904_21.PDF
[3] https://www.infoblox.com
[4] https://www.exclusive-networks.com/fr/vendors/infoblox/
[5] https://www.toolinux.com/?que-penser-de-l-alerte-de-la-nsa-sur-le-dns-sur-https-doh-et-le-risque-de#forum
mercredi 20 janvier 2021
La NSA vient de publier une alerte au sujet du protocole DoH. Problème : " Ils ont été conçus pour garantir la confidentialité des utilisateurs grand public sur Internet", estime un spécialiste du secteur .
En juin dernier la NSA présentait, aux États-Unis d’Amérique, un programme pilote d’un DNS « sécurisé » s’adressant aux fournisseurs et aux sous-traitants de la défense américaine en vue d’améliorer la cybersécurité de ces derniers.
Anne Neuberger, directrice de la NSA [1]expliquait alors que cette initiative résultait d’une " analyse ayant mis en évidence que l’utilisation d’un DNS sécurisé réduirait de 92 % la capacité des attaques des logiciels malveillants utilisant des serveurs de commande et contrôle ".
Dans la continuité de ce projet, la NSA [2]vient de publier une alerte au sujet du protocole DoH [Domain Name System (DNS) over Hypertext Transfer Protocol over Transport Layer Security (HTTPS)].
Cette mesure vise à accroître la confidentialité et la sécurité en utilisant le protocole HTTPS pour crypter les données entre le client DoH et le résolveur DNS basé au DoH.
Dans cette alerte, la NSA prévient que l e DoH peut être utilisé abusivement par des attaquants , s’il n’est pas correctement déployé dans les entreprises. Par conséquent, pour les réseaux des entreprises, la NSA recommande de n’utiliser que des résolveurs DNS désignés - soit un serveur DNS de l’entreprise, soit un service hébergé en externe.
Pour Clément Marcelot, Solution Architect chez [3]Infoblox , « le DNS sur HTTPS (DoH) et le DNS sur TLS (DoT) ont été conçus pour garantir la confidentialité des utilisateurs grand public sur Internet. Ils n’ont pas été conçus pour servir les environnements informatiques des entreprises, car la confidentialité des transferts de données n’y est généralement pas une priorité . »
Le spécialiste en gestion de réseaux d’ [4]Infoblox poursuit : " La plupart des entreprises doivent être en mesure de surveiller le trafic qui circule sur le réseau à des fins de sécurité . Elles chercheront donc généralement à bloquer le DoH et le DoT. Certaines techniques simples peuvent d’ailleurs être utilisées à cette fin. Si pour une raison ou une autre, elles décident de les mettre à l’œuvre ou les autoriser, le DoT doit dans ce cas être préféré au DoH. Le DoT fonctionne au niveau du système d’exploitation, ce qui peut garantir un comportement et un contrôle identiques pour toutes les applications et tous les services exécutés sur le terminal, tandis que le DoH fonctionne au niveau applicatif, ce qui signifie que chaque application (y compris les logiciels malveillants) pourrait avoir un comportement DoH différent. Et bien sûr, dans les deux cas, les entreprises doivent utiliser des résolveurs DoH/DoT fiables (et de préférence internes). Certains malwares utilisent déjà le DoH comme un mécanisme de commande et de contrôle . La raison en est que certains services DoH n’exercent pas un contrôle strict sur leur utilisation, par exemple ils n’imposent pas systématiquement l’utilisation du champ MIME, que certains pare-feu tentent d’utiliser pour bloquer le trafic indésirable du DoH. "
[5]
[1] https://fcw.com/articles/2020/06/18/williams-nsa-dns-pilot.aspx
[2] https://media.defense.gov/2021/Jan/14/2002564889/-1/-1/0/CSI_ADOPTING_ENCRYPTED_DNS_U_OO_102904_21.PDF
[3] https://www.infoblox.com
[4] https://www.exclusive-networks.com/fr/vendors/infoblox/
[5] https://www.toolinux.com/?que-penser-de-l-alerte-de-la-nsa-sur-le-dns-sur-https-doh-et-le-risque-de#forum