Quand le NIST dépoussière son guide, le DNS quitte le back-office pour la ligne de front : SP 800-81 Rev 3 orchestre blocage automatique, gouvernance partagée et convergence transatlantique contre ransomwares.
Le National Institute of Standards and Technology (NIST) a récemment publié une nouvelle version de son Guide de déploiement sécurisé du DNS (Publication spéciale 800-81, Révision 3), une initiative saluée à l’échelle mondiale par les experts en cybersécurité. Cette mise à jour témoigne d’une reconnaissance, bienvenue, du DNS comme un élément central de la sécurité des entreprises et de la protection nationale mais aussi comme un protocole clé au cœur de la résilience cyber. Elle reflète également la volonté du NIST de renforcer la fiabilité du DNS à l’échelle mondiale grâce à une approche ouverte et fondée sur l’expertise collective. Ce nouveau cadre s’inscrit dans la droite ligne des priorités européennes en matière de cybersécurité, notamment celles portées par la directive NIS2. Dans un contexte où les menaces numériques dépassent les frontières, l’adoption de standards mondiaux pour la sécurité du DNS est plus essentielle que jamais. Cette révision s’aligne en effet sur les ambitions européennes, et nul doute qu’une approche collaborative, guidée par les acteurs de l’industrie, bénéficie à l’ensemble de la société.
Ce que dit la Révision 3 du NIST SP 800-81
La nouvelle version du guide repositionne le DNS comme un véritable outil de sécurité et de conformité et un point de contrôle fondamental en matière de cybersécurité. Longtemps perçu comme une simple couche technique, il est désormais considéré comme un élément stratégique des architectures Zero Trust et de la défense en profondeur. Il devient ainsi un pilier de la résilience cyber.
La sécurité DNS repose sur trois volets : l’usage d’un DNS de protection, la sécurisation du protocole DNS et la protection du service et de l’infrastructure DNS.
Utilisation d’un DNS de protection (Protective DNS)
Le DNS de protection fournit un service DNS enrichi par des fonctionnalités de sécurité reposant sur l’analyse des requêtes et réponses DNS, et de déclenchement d’actions de mitigation des menaces. Le DNS, en tant qu’outil de contrôle de sécurité, a la particularité de ne pas être limité à certains types de menaces contrairement à d’autres outils de l’écosystème de sécurité. Il permet de protéger les utilisateurs et les organisations en bloquant les menaces telles que les ransomwares, vols d’identifiants, les fuites de données et contre d’autres escroqueries en tous genres.
Il repose sur l’intégration de renseignements sur les menaces dans le résolveur DNS, via des mécanismes comme les Response Policy Zones (RPZ), et peut facilement s’interfacer avec une architecture DNS déjà en place. Ce service peut être fourni au travers d’une offre as-a-Service proposée par un fournisseur, mis en place sur l’infrastructure DNS interne de l’entreprise, ou combiné dans une approche hybride. Cette approche hybride, bien qu’elle ne soit pas applicable dans toutes les organisations, présente plusieurs avantages et devrait être privilégiée lorsque sa mise en œuvre est possible.
Le DNS de protection va au-delà du simple blocage. En cas de cyberattaque, il est essentiel d’associer une adresse IP à un actif compromis au moment de l’incident, ce qui suppose de collecter des métadonnées clé en temps réel, comme l’historique des baux DHCP. Pour détecter rapidement une activité suspecte ou avérée malveillante, les journaux de sécurité du DNS de protection doivent être intégrés aux outils de supervision tels que le SIEM.
Les bénéfices d’un DNS de protection sont nets et immédiats, offrant une détection précoce critique et une défense automatisée contre les menaces émergentes. Un exemple récent illustre bien cette capacité d’anticipation : En 2024, le CISA a émis une alerte urgente de sécurité informant d’une nouvelle campagne d’attaque visant une centaine d’organismes de santé visant à s’emparer de données personnelles de millions d’individus. Dans le cadre de cette attaque, les threat actors avaient utilisé deux domaines malveillants pour communiquer avec leur infrastructure de commande et contrôle (C2). Les organisations dotées de solutions avancées de DNS de protection avaient détecté et bloqué automatiquement les tentatives de communication avec ces domaines malveillants, plusieurs jours ou plusieurs mois avant la publication de l’avis du CISA. Cette interception précoce a permis d’empêcher une tentative d’exfiltration de données avant que des dommages ne se produisent, démontrant ainsi le rôle essentiel du DNS de protection dans la défense préventive.
Sécurisation du protocole DNS
Le protocole DNS, indispensable à la navigation sur Internet, reste une cible privilégiée des cybercriminels pour propager des malwares, exfiltrer des données, établir des communications C2, etc. Pour se prémunir contre ces menaces, les organisations doivent protéger leurs services DNS autoritaires et récursifs – internes et externes – à l’aide de technologies comme DNSSEC ou TSIG. Elles doivent également chiffrer les communications DNS autant que possible, et enfin assurer une hygiène DNS rigoureuse pour vérifier l’intégrité de leurs domains publics.
Le chiffrement du DNS renforce la confidentialité et réduit les risques d’attaques tels que le DNS spoofing, ou man-in-the-middle. Ce chiffrement impose toutefois une charge de travail supplémentaire en particulier pour les serveurs DNS, qui doivent être suffisamment dimensionnés avant tout déploiement à grande échelle.
L’hygiène en matière de gestion du DNS, quant à elle, doit suivre des bonnes pratiques pour éviter les attaques liées à des erreurs de configuration ou à l’abandon de noms de domaine. Des acteurs malveillants peuvent en effet exploiter des CNAME abandonnés (dangling CNAME), des délégations de domaines défectueuses (lame delegation), ou des noms de domaines mirroir (lookalike domains). Les entreprises et organisations doivent mettre en œuvre des processus solides pour contrôler et valider en permanence l’intégrité de leurs domaines publics, et pour améliorer leur visibilité des tentatives d’usurpation des domaines légitimes leur appartenant. Un exemple illustre les risques majeurs d’une mauvaise gestion DNS : un sous-domaine des CDC américains, laissé à l’abandon, a été récupéré par un attaquant qui y a publié ses propres contenus. Aucun piratage sophistiqué n’a été nécessaire, l’attaquant a simplement inséré son propre contenu dans un sous-domaine de ‘cdc.gov’. Cet exemple met en évidence la facilité avec laquelle les attaquants peuvent exploiter une mauvaise hygiène DNS et les risques pour la réputation que cela peut entraîner.
Sécuriser les services et infrastructures DNS
Pour garantir la résilience du DNS, il est essentiel d’exécuter ces services DNS sur une infrastructure dédiée et sécurisée. L’isolation des services DNS des autres services sensibles permet de réduire la surface d’attaque et d’assurer leur disponibilité.
La mise à jour défectueuse de Windows en 2024 illustre assez bien cette nécessité. Cette dernière a provoqué une panne massive de serveurs – y compris ceux hébergeant des services DNS – mettant hors ligne de nombreux réseaux pendant des heures. Un rappel clair de l’importance d’une infrastructure DNS robuste et indépendante pour garantir la continuité des opérations.
Une dynamique collaborative pour renforcer la sécurité DNS
Cette mise à jour du guide du NIST reflète l’évolution des menaces et les enseignements issus du terrain. En s’appuyant sur l’expertise de professionnels et chercheurs du monde entier, elle propose des recommandations concrètes et éprouvées. Le DNS étant un pilier d’Internet, sa sécurisation ne peut reposer que sur des standards partagés. Le processus collaboratif du NIST renforce ainsi la légitimité et l’efficacité des normes mondiales en matière de cybersécurité.
La mise à jour du guide DNS par le NIST est une avancée majeure saluée par la communauté mondiale de cybersécurité. Elle souligne que la sécurisation d’une technologie transfrontalière comme le DNS passe par la collaboration et le partage d’expertise. Alignée avec la directive européenne NIS2, cette initiative reflète un consensus global sur la protection de notre infrastructure numérique commune.
____________________________
Par Laurent Rousseau, Solutions Architect Manager pour l’Europe du Sud chez Infoblox