Comme chaque années l’Agence Nationale sur la Sécurité des Systèmes d’Informations (ANSSI) a rendu le rapport de l’Observatoire de la résilience de l’Internet français écrit en collaboration avec le Registre du .fr. Très documentées, les 71 pages du document montrent des améliorations sensibles dans le suivi des bonnes pratiques mais attirent aussi l’attention sur les progrès à faire dans des domaines qui concernent toutes les entreprises. Revue de détail.
La menace étant par nature protéiforme, l’agence structure son rapport en s’intéressant aux différents transports et protocoles qui peuvent être autant de vulnérabilités utilisables par les pirates. Le degré de risque varie et les solutions aussi, mais l’ANSSI pense comme SafeBrands que « la sécurité est l’affaire de tous », c’est pourquoi cette revue peut être utile à chacun.
I) Le DNS : indispensable mais encore peu sécurisé.
L’ANSSI reconnaît tout d’abord que le vénérable protocole n’était pas prévu pour être sécurisé : « Conçu à une époque où la menace était moins forte, le DNS ne bénéficiait pas de mécanismes de sécurité́ lors de sa création ».
- Le protocole DNSSEC a été conçu pour assurer l’authenticité et l’intégrité des données et pallier ainsi à « l’empoisonnement du cache » mécanisme par lequel on peut attirer l’internaute, à son insu, vers une autre destination que celle souhaitée. C’est pourquoi on peut se réjouir que « entre 2015 et 2016, le pourcentage de zones DNSSEC a dépassé la barre symbolique des 10%, ayant crû de 8,8% à 10,2%. En décembre 2016, il est ainsi possible de dénombrer environ 291 000 zones ». Les équipes de SafeBrands peuvent vous aider à tirer parti du protocole DNSSEC pour vos propres zones, à la manière de ce qui est standard pour les noms en .Bank par exemple.
- La nécessité de diversifier les serveurs de noms pour protéger l’accès à un site: la plupart des entreprises utilisent des serveurs DNS externalisés pour assurer la connectivité de leur site. C’est une bonne pratique car cela permet aussi d’externaliser le risque, mais le corolaire de cette mesure de protection est bien souvent une perte de contrôle. Ainsi, quand l’agence constate que « 99 % des zones sont déléguées en utilisant exclusivement des noms de serveur hors juridiction technique », c’est pour souligner que « Pour 75 % des zones étudiées, il existe un risque d’indisponibilité accru du fait des noms de serveur choisis pour déléguer ces zones ». Par ailleurs et plus étonnant, la vieille convention qui veut que le TLD « .net » désigne « network » (soit « réseau » en anglais) est vue comme une condition de vulnérabilité supplémentaire par l’ANSSI, qui souligne un « degré de dépendance » envers une seule et même entité américaine, Verisign le Registre du .net et du .com. Bien entendu la taille du Registre et son expérience sont de nature à rassurer les utilisateurs mais il convient de garder en tête la possibilité offerte par d’autres opérateurs – SafeBrands notamment – d’utiliser d’autres serveurs dont les noms sont enregistrés dans d’autres extensions.
- Le placement des DNS comme enjeu de souveraineté : la plupart des constellations de serveurs DNS ont leur origine en Amérique du Nord, aux USA ou au Canada. Utiliser les services de ses professionnels est un moyen de profiter de leur expérience et de leur infrastructure robuste, mais l’ANSSI souligne que c’est cela revient à confier une infrastructure sensible à un pays étranger : « En 2016 et en IPv4, les zones dont tous les serveurs DNS faisant autorité sont dans un même pays étranger représentent 28 % des zones étudiées, contre 27 % en 2015. […] cette tendance est donc à surveiller car elle indique […] une migration des zones étudiées vers des plateformes d’hébergement situées à l’étranger, et en particulier en Amérique du Nord. Le taux de zones dans cette situation a ainsi augmenté, d’un peu moins de 20 % des zones étudiées en 2015, à un peu plus de 21 % des zones étudiées en 2016 ».
II) Le courrier électronique : pas assez diversifié.
- L’agence indique que « Un seul relais de messagerie est renseigné pour 38 % des zones déléguées ». En pratique, si ce relais est attaqué, ou tout simplement défaillant, les mails n’arrivent plus. Seuls certains prestataires de messageries font mieux et retournent quatre adresses différentes pour un même serveur. Comme le souligne l’ANSSI : « Pour environ 10 % des zones, quatre adresses IPv4 peuvent être contactées pour leur délivrer des courriers électroniques. Les zones employant cette plateforme de service bénéficient donc d’une plus grande résilience, puisqu’elles disposent d’au moins quatre adresses IPv4 au total ».
- Comme pour les serveurs DNS, la localisation des serveurs de mail et l’extension dans laquelle leurs noms de domaine sont enregistrés est aussi pointée du doigt par l’organisme : « Jusqu’à 86 % des zones étudiées introduisent une [vulnérabilité unique] dû au choix des noms de leurs relais de messagerie. En particulier, 64 % des zones étudiées créent deux points critiques en utilisant des noms situés dans un nom public situé sous un unique TLD tiers ». En pratique il s’agit souvent, et une nouvelle fois, des .net (pour 70% d’entre eux) et .com (pour 20%) de Verisign. L’ANSSI pointe aussi le cas intéressant d’un opérateur qui fonctionne en dehors du territoire mais utilise un nom de domaine en .fr pour se faire. Ce cas, qui concerne 22% des zones ayant fait l’objet de l’étude, souligne l’importance de poser les bonnes questions dans le choix de serveurs d’infrastructures sensibles, sans s’arrêter à l’aspect ‘visuel’ du nom de domaine. Les experts de SafeBrands pourront vous aider à répondre à ces questions lors d’un audit et en vous proposant des solutions e-mail à haute disponibilité basées en France.
- Le cas des « relais de messagerie entrants » est intéressant car l’étude révèle une concentration extrêmement forte de ces relais sur un très faible nombre d’opérateurs : « 71 % des relais de messagerie sont héberges par quatre opérateurs, comme en 2015 ». Cette concentration peut effrayer car elle permettrait de concentrer les attaques sur peu de points différents mais l’ANSSI y voit aussi une vertu : « Cette concentration peut parfois aider à la mutualisation des moyens. Cela peut présenter un intérêt pour la défense contre certaines attaques en déni de service. Le filtrage du courrier indésirable peut également être partagé ».
III) Les certificats : une mue significative mais encore inachevée
- L’agence commence par rappeler ses propres conseils, auxquels nous renvoyons aussi. Surtout, elle indique que 2016 était une année charnière pour le protocole TLS (le nom actuel du SSL même si ce dernier acronyme est toujours utilisé par commodité de langage). Quand les experts de l’ANSSI ont tenté d’effectuer une connexion à des sites via SSL ils ont constaté un taux d’échec très important et encourageant : « moins d’un serveur sur vingt accepte de monter une session SSLv2. […] La version obsolète, en plus de ne pas être prise en charge par les nouveaux serveurs, disparait progressivement des installations existantes ». Les sites français sont donc relativement à la page, ce dont on ne peut que se féliciter, en sachant tout de même que la décision d’abandon de SSLv2 date déjà de 2011 : il était plus que temps ! Du côté de TLS, l’agence relève que « TLS 1.2 est couramment pris en charge par les serveurs de la zone .fr en 2016. TLS 1.0 est présent à égale mesure ». Cette égalité est en fait problématique car elle prouve que les mises à jour ne sont pas toujours faites à temps par les services informatiques. L’ANSSI rappelle donc un conseil de pur bon sens « clients comme serveurs devraient privilégier la version la plus récente du protocole ». L’ANSSI indique d’ailleurs en conclusion : « la standardisation de TLS 1.3 touche à sa fin et devrait être terminée d’ici la fin de l’année 2017 ».
- Pour assurer la sécurité des transactions sur Internet, les certificats installés sur les sites marchands pour profiter du protocole « https » utilise un mécanisme de chiffrement, aussi appelé « hachage ». Le navigateur web du client déchiffre l’information envoyée par le serveur et vérifie que l’empreinte (le hash en anglais) est bien celle attendue. La plupart des certificats utilisaient jusqu’à une époque récente le protocole « SHA-1 » pourtant mis à l’index depuis 2005 par la communauté des experts de sécurité et des éditeurs de navigateurs car il n’est plus assez fiable. Après des années à recommander aux gestionnaires de basculer vers des certificats « SHA-256 » (souvent abrégé en « SHA-2 »), l’ANSSI constate dans son rapport que les choses bougent enfin : « Début 2014, la part de certificats non expirés signée à l’aide de SHA-2 était de 3 % seulement, tandis que 96 % d’entre eux étaient signés avec SHA-1. Fin 2016, les proportions sont inversées, avec 94 % de SHA-2 contre 5 % de SHA-1 ». C’est bien une tendance de masse qui se dégage puisque la grande majorité des certificats récents sont tous crées en 256 : « En effet, plus de 98 % des certificats valides au plus tôt le 1er janvier 2016 (qui peuvent être assimilés aux certificats émis au cours de l’année 2016) sont signés avec SHA-2 ». On peut d’ailleurs se féliciter d’un taux d’adoption important du protocole https : d’après le rapport, « En un an, la quantité de sites web accessibles en HTTPS est passée de 25 % à 65 % ».
- Bien sûr, les pratiques souvent anxiogènes des navigateurs ne sont pas étrangères à cette prise de conscience des entreprises. Les équipes de SafeBrands sont par ailleurs à votre disposition pour vous proposer toute une gamme de certificats parfaitement sécurisés et respectant les préconisations de l’ANSSI.
IV) Deni de Service Distribué (DDoS) : d’abord, fermer les ports.
- L’ANSSI s’est penchée sur les protocoles couramment utilisés pour permettre ce type d’attaques qui vise à submerger le réseau de l’entreprise pour, à la faveur de cet embouteillage, empêcher les utilisateurs et consommateurs d’accéder aux sites ou autres ressources utiles. L’Agence relève que, dans la plupart des cas, les attaques tirent parti de mauvaises configurations au niveau des serveurs qui permettent aux attaquants de détourner des protocoles. Ainsi de SNMP qui « permet d’administrer et de superviser des équipements au moyen de l’envoi de requêtes spécifiant une chaîne de caractère […]. Les chaînes par défaut (public pour la lecture, private pour l’écriture) doivent être modifiées. Par ailleurs, l’accès aux équipements via le protocole SNMP doit également être restreint au réseau d’administration ou de supervision ». Là encore, les conseils sont de bon sens, pourtant : « À la fin de l’année 2016, l’Internet français compte plus de 200 000 équipements répondant à des requêtes SNMP pour la communauté en lecture par défaut (public) ». De même, pour le protocole SSDP (Simple Service Discovery Protocol) qui, selon l’Agence « n’a pas vocation à être utilisé en dehors d’un réseau local », « À la fin de l’année, celui- ci se situe à près de 20 000 équipements ». Ce qui donne une conclusion sans surprise de l’ANSSI : « À la fin de l’année 2016, l’Internet français comporte de nombreux équipements susceptibles d’être exploités pour mener des attaques en déni de service par amplification ». Même si on peut tout de même se réconforter en constatant que « Pour les protocoles observés, la volumétrie de ces équipements n’a pas évolué significativement au cours de l’année ».
- Même si sa conclusion recommande au lecteur de « anticiper les attaques DDoS en acquérant une solution de dépollution ou souscrire à une offre via un prestataire », le rapport ne contient pas de solution anti-DDoS. Le rôle de l’Agence est avant tout de constater ce qui peut poser problème et il ne lui appartient pas de proposer des solutions pour lutter contre ce type d’attaque. Elle renvoie à un guide très complet, et nous vous encourageons à contacter les équipes de SafeBrands pour étudier la mise en place de réponses appropriées pour votre entreprise.