DNS : le ministère américain de l’Intérieur s’inquiète du risque de détournement

Le ministère de l’Intérieur américain prend manifestement très au sérieux l’alerte lancée mi-janvier par FireEye, une entreprise de cyber-sécurité informatique américaine. Pour mémoire, ses chercheurs ont enquêté sur une vaste opération de « manipulation d’enregistrements DNS, à une échelle quasiment sans précédent ». Dans un billet de blog, ils expliquaient qu’avaient été visées des organisations gouvernementales, ainsi que des opérateurs télécoms et de services en ligne au Moyen-Orient, en Afrique du Nord, en Europe, et en Amérique du Nord.

Le Cert-US avait lancé l’alerte dans la foulée des révélations de FireEye, mais également des équipes Talos de Cisco. Mais le DHS ne se contente pas d’un message à caractère informatif ou de simples recommandations.

Dans une directive urgente, il rappelle les risques associés au détournement d’enregistrements DNS, à commencer par la compromission d’identifiants d’utilisateurs et plus généralement, l’interception de trafic réseau.

Surtout, il exige des agences fédérales de mener un audit complet des enregistrements DNS des domaines qu’elles administrent, sous 10 jours. Et ce n’est que la première action demandée. A celle-ci s’ajoute le changement des mots de passe des comptes d’administration des enregistrement DNS, ainsi que la mise en œuvre de l’authentification à facteurs multiples pour ceux-ci.

Enfin, le DHS demande aux administrations de suivre les émissions de certificats pour les domaines qu’elles administrent, et en particulier d’alerte en cas de découverte de certificat n’ayant pas été demandé par l’agence. Un exemple, qui mériterait assurément d’être largement suivi.