Un DNS sécurisé made in NSA

le 22/06/2020, par Dominique Filippone, Sécurité, 433 mots

A l'occasion du Defense One Tech Summit jeudi dernier, la directrice de la cybersécurité de l'agence nationale de la sécurité américaine (NSA) a présenté un test autour de Secure DNS. Objectif : éviter les cyberattaques visant des contractants PME-ETI travaillant pour le département de la défense US.

Un DNS sécurisé made in NSA

Créée en 2018 par le président américain Donald Trump, l'agence de cybersécurité - équivalente de l'ANSSI pour les Etats-Unis - rattachée au département de la sûreté intérieure (DHS), avait émis début 2019 une alerte (Emergency Directive 19-01) sur une série de cyberattaques imputées à l'Iran. Leur particularité ? Viser l'infrastructure DNS ce qui permet, comme le rappelle le CERT-FR, de porter atteinte à l'intégrité des données, de procéder à de la saturation de serveur (cache ou autorité) ou d'un équipement en coupure (routeur, pare-feu,...) par des trames, de contourner la politique de sécurité en utilisant le système de requêtes/réponses DNS pour créer un tunnel caché, etc.

Afin de se prémunir contre ce type d'attaques, la division cybersécurité de l'agence nationale du renseignement américain (NSA), mise sur pied fin 2019, a lancé un projet pilote baptisé Secure DNS. Lancé depuis un mois et demi, ce programme doit permettre de sécuriser les accès des PME/ETI sous-traitantes et ayant des contrats avec le département de la défense (DoD) américaine liés à son système d'information, en particulier celles travaillant sur des projets de développement de technologies d'armement.

Des résultats très concluants selon la NSA

« Notre analyse a mis en évidence que l'utilisation d'un DNS sécurisé réduirait la capacité de 92% des attaques de logiciels malveillants passant par des serveurs de commande et de contrôle, en déployant des logiciels malveillants sur un réseau donné », a expliqué Anne Neuberger, directrice cybersécurité de la NSA lors d'une prise de parole jeudi dernier au Defense One Tech Summit 2020.

D'après les premières remontées des tests effectués, les résultats du pilote qui ont été menés semblent très concluants. A terme, l'entité cyber de la NSA prévoit de documenter et de standardiser son service de Secure DNS. « Il s'agit d'un modèle qui peut aider à relancer ce type de sécurité, en particulier pour les PME qui n'ont pas la capacité d'investir dans les ressources ou [d'avoir] le personnel qualifié approprié ». En France, l'ANSSI a eu l'occasion dans un guide d'évoquer - sans rentrer dans les détails - les grandes lignes d'une infrastructure DNS sécurisée.

(légende illustration)
« Notre analyse a mis en évidence que l'utilisation d'un DNS sécurisé réduirait de 92% la capacité des attaques de logiciels malveillants passant par des serveurs de commande et de contrôle », a expliqué Anne Neuberger, directrice de la cybersécurité de la NSA. (Crédit : Long Now Foundation)



Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...