Télétravail : le DNS, un premier rempart contre les menaces
Le sujet de la sécurité des terminaux des collaborateurs à leur domicile s’invite régulièrement dans les débats depuis un an. Se pencher sur les DNS peut aider simplement à ajouter une protection, utile notamment en configuration VPN dite de split-tunneling.
Le split-tunneling n’a pas les faveurs des RSSI, et c’est peu dire. Cette pratique consiste à ne faire passer par le VPN de l’entreprise que le trafic destiné aux ressources internes au système d’information. Le reste peut transiter directement sur Internet. L’approche vise à soulager les infrastructures VPN.
Le RSSI d’Egis expliquait récemment avoir été contraint d’y recourir, lors du premier confinement de mars 2020, « pour des raisons de performances et de bande passante ». Il n’a pas été le seul. Mais comme il le soulignait alors : « ce mode de fonctionnement ne protège pas suffisamment les communications et le poste de travail en télétravail ».
Fortinet vient tout juste d’annoncer un investissement dans Linksys pour essayer d’apporter une réponse, à terme, à ce problème. Et c’est bienvenu : certaines options pour renforcer la cybersécurité en télétravail peuvent s’avérer très onéreuses. Pour autant, il est possible d’ériger une première barrière entre les télétravailleurs et les cybermenaces, peu coûteuse, mais déjà redoutablement efficace. Il s’agit de miser sur les requêtes DNS.
Anne NeubergerResponsable directoire cybersécurité, NSA
La NSA travaille, depuis l’été dernier, à un service DNS sécurisé pour l’industrie de la défense. Son explication ? « Notre analyse a montré qu’utiliser un DNS sécurisé réduirait les possibilités de 92 % des attaques de maliciel… que l’on parle de commande et de contrôle, ou de déploiement d’un malware dans un réseau donné », a détaillé Anne Neuberger, responsable du directoire cybersécurité de l’agence américaine.
Nicolas Jeanselme, architecte solutions principal chez Infoblox, ne dira pas autre chose, lui qui relevait récemment, sur LinkedIn, que les 10 maliciels les plus actifs en février ont tous, à un moment ou à un autre, dans leur chaîne d’attaque, recours à des services DNS pour, au moins, traduire une adresse canonique en adresse numérique. Et par exemple, télécharger une seconde charge malicieuse.
Nicolas Jeanselme se souvient, au début du premier confinement : « beaucoup de clients, du jour au lendemain, nous ont demandé comment améliorer la sécurité des télétravailleurs, alors que leur infrastructure VPN n’était pas prête à supporter la charge ».
Palo Alto Networks l’a bien compris également, en publiant dès le début du mois d’avril un billet de blog sur la manière dont « sécuriser les DNS peut aider à sécuriser les collaborateurs hors des murs de l’entreprise et de son système d’information ». Cisco avait lancé quant à lui Umbrella, une offre complète de sécurisation des accès à Internet, intégrant le volet DNS, dès 2017, en profitant du rachat antérieur d’OpenDNS. La raison est simple : « l’accès aux applications en réseau commence par une requête DNS », rappelle Nicolas Jeanselme.
À titre personnel, les utilisateurs de Pi-Hole ne manquent pas. Et l’intégration d’indicateurs de compromission publics, comme ceux d’Abuse.ch, peut aider à protéger contre certaines menaces. Mais il est difficile d’envisager, pour une entreprise, de configurer et distribuer en masse des Raspberry Pi configurés à cette fin, et de les faire efficacement installer par ses collaborateurs, sur leur réseau domestique.
Une approche alternative peut consister à exploiter son propre serveur DNS dans un service cloud et d’en fournir l’adresse à ses collaborateurs ou de configurer en conséquence leurs outils professionnels. Après tout, ce n’est pas comme si des serveurs DNS n’étaient pas largement exploités en interne.
Mais une alternative commerciale peut présenter des avantages non négligeables, comme le souligne Nicolas Jeanselme. L’offre d’Infoblox s’appuie par exemple sur des agents déployés sur les terminaux : « en deux semaines, nous avons réussi à couvrir tout le parc d’un grand client ». Et là, la protection est plus étendue.
Nicolas Jeanselme explique que la solution d’Infoblox sait bien sûr bloquer les requêtes vers des adresses canoniques réputées malicieuses, mais aussi détecter les tentatives d’encapsulation de trafic malveillant dans des requêtes DNS, comme le font certains malwares : « la typologie du trafic est différente et reconnaissable. Nous l’avons validé avec des clients qui nous ont mis au défi de le détecter avec des red teams ».
Et l’établissement de la réputation d’une adresse canonique, voire d’un nom de domaine, n’est pas instantané : il faut le temps de découvrir la menace qui s’y cache, de l’observer, de l’analyser, puis d’en partager la connaissance, et enfin de la diffuser dans les listes de réputation. Face à cela, Infoblox bloque pendant trois jours tout nouveau nom de domaine. « Et nous n’avons pas observé d’effet de bord », précise Nicolas Jeanselme.
Cerise sur le gâteau, outre offrir un accès simple et centralisé aux traces de journalisation des requêtes DNS, une solution comme celle d’Infoblox permet d’exploiter la connaissance de la menace : « nous proposons une API pour alimenter le tenant client de ses propres indicateurs de compromission ».