du 11 janvier 2019
Date

Choisir une autre édition

Une attaque DNS compromettrait les sites de nombreuses entreprises et organisations

Des pirates utiliseraient trois techniques pour rediriger des noms de domaine vers des serveurs compromis, affirme la société de sécurité FireEye.

Elle présente l’attaque comme massive et mondiale, touchant « des dizaines de domaines appartenant à des entités gouvernementales, de télécommunications et d’infrastructures Internet au Moyen-Orient, en Afrique du Nord, en Europe et en Amérique du Nord », sans les nommer. La campagne serait active depuis janvier 2017.

La première technique consiste à pirater le tableau d’administration du site ciblé chez son fournisseur DNS. L’attaquant change alors l’adresse du serveur vers lequel diriger l’internaute (enregistrement A), pour entrer un compromis.

Le serveur compromis agit alors comme un proxy entre l’internaute et le vrai site, collectant certaines données, par exemple des identifiants. L’utilisateur ne doit y voir que du feu, accédant un peu plus lentement au site légitime. Le faux site paraît protégé grâce à un certificat TLS gratuit récupéré chez Let’s Encrypt, renvoyant ensuite vers le vrai et son certificat officiel.

La seconde technique consiste à exploiter un bureau d’enregistrement ou domaine géographique (ccTLD), en modifiant cette fois l’enregistrement NS (serveur de nom). Alors que l’entrée « A » désigne le serveur principal, la « NS » permet de ne toucher qu’à un sous-domaine précis, comme celui d’un webmail.

La troisième technique s’ajoute à l’une des deux autres. Une redirection DNS est effectuée, pour retourner l’adresse IP compromise si le site ciblé est demandé par l’internaute, et demander une adresse à un résolveur légitime si un autre site est demandé.

Pour FireEye, il est difficile de se protéger de cette attaque. La société recommande d’activer la double authentification sur les panneaux d’administration DNS des domaines, de vérifier les entrées « A » et « NS » de sa zone DNS, de vérifier les journaux d’accès au site et d’enquêter sur des intrusions dans son propre réseau.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Pour rappel, les annonces de routes BGP permettent de diriger le trafic Internet vers un serveur ou un autre, par exemple vers ceux à proximité. Problème, des tables de routages internes sont parfois diffusées sur Internet, et reprises sans vérification par certains gros acteurs. La conséquence ne se fait pas attendre : la redirection massive du trafic surcharge le réseau (voir ici et par exemple).

Cloudflare explique que, hier, « une petite entreprise du nord de la Pennsylvanie est devenue le chemin privilégié de nombreuses routes Internet pour Verizon (AS701) ». La société ajoute que « cela n'aurait jamais dû arriver, Verizon n'aurait jamais dû transmettre ces itinéraires au reste d'Internet ».

Matthew Prince, cofondateur et PDG de Cloudflare, en rajoute une couche sur Twitter, affirmant que les équipes de Verizon et de Noction « devraient avoir honte » : « C’est absurde, BGP est si fragile. C’est plus absurde que Verizon accepte aveuglément des routes sans filtres basiques ».

Cette situation a « provoqué des pannes pour de nombreux réseaux, notamment Cloudflare et Facebook, Amazon et bien d'autres », explique Andree Toonk (fondateur de BGPmon) sur Twitter. Chez Cloudflare, l'incident a débuté à 13h02 pour se terminer à 15h02.

Une solution existe pourtant avec « une infrastructure de distribution de certificats numériques prouvant qu’on contrôle un préfixe IP : la RPKI », comme l'expliquait il y a déjà plusieurs années le spécialiste Stéphane Bortzmeyer. Elle est notamment poussée par Cloudflare.

Jérôme Fleury, directeur réseau chez Cloudflare, distribue de son côté un bon point à AT&T pour avoir déployé RPKI : « C'est une situation gagnant-gagnant pour nos deux réseaux »  puisque la fuite BGP n'a eu aucun effet sur le trafic Cloudflare sur AT&T.

Copié dans le presse-papier !

Placer Huawei sur liste noire ne serait qu'une étape parmi d'autres dans la guerre que livrent les États-Unis à la Chine. 

Selon le Wall Street Journal repris par Reuters, « Donald Trump envisage d’exiger que les équipements destinés à la nouvelle génération de téléphonie mobile (5G) aux États-Unis soient conçus et fabriqués hors de Chine ».

Les dirigeants ont ainsi demandé aux équipementiers s'ils pouvaient suivre cette injonction si elle devenait une réalité. 

Copié dans le presse-papier !

Ce matin, le lanceur lourd a décollé prévu du Complex 39A (LC-39A) depuis le Kennedy Space Center de la NASA (Floride).

Les deux boosters latéraux avaient déjà été « éprouvés » en vol, c'est-à-dire recyclés du lancement d'Arabsat-6A en avril dernier. Ils sont venus se poser sans encombre sur la terre ferme, un peu plus de huit minutes après le décollage.

Le premier étage n'a par contre pas eu la même chance : il a loupé son atterrissage sur une barge. On peut le voir s'abîmer en mer (pas loin de la barge) un peu plus de 11 minutes après le lancement.

Le lanceur doit maintenant déployer 24 satellites sur trois orbites différentes. L'avancement des travaux peut être suivi sur le compte Twitter de la société.

Copié dans le presse-papier !

Nouvelle version pour Telegram sur Android et iOS, avec un lot d’apports bienvenus.

L’ajout de contacts est ainsi simplifié, particulièrement si l’utilisateur est contacté par une personne avec qui il n’a jamais échangé (l’ajout peut se faire par numéro ou pseudo). Comme sur WhatsApp ou même Twitter, la conversation peut être acceptée ou rejetée. Un bouton permet en outre d’ajouter le contact, même si son numéro n’est pas affiché.

On peut également ajouter des contacts proches géographiquement. Après avoir reçu l’autorisation d’accès, Telegram affiche les personnes dans une liste. Pratique si au cours d’une soirée par exemple on souhaite ajouter une ou plusieurs personnes sans avoir besoin d’échanger les numéros de téléphone.

La géolocalisation peut également servir à créer des groupes locaux. La fonction se destine à tous ceux qui aimeraient discuter en commun d’un évènement ou dans un lieu particulier, par exemple une université.

Dans les groupes justement, il devient enfin possible de transférer l’administration. Cas classique : un utilisateur a créé un groupe dont il ne peut plus s’occuper par manque de temps. Un bouton permet donc le transfert à une autre personne, qui devra bien sûr accepter ce nouveau rôle.

On note enfin quelques petits ajouts dans iOS, comme la prévisualisation du thème avant validation, ou encore différents choix pour l’icône. La fin de Telegram X avait en effet provoqué la colère de ceux qui en appréciaient l’icône noire. Elle fait donc maintenant partie du lot, en plus d’un logo légèrement rafraichi.

Copié dans le presse-papier !

Cette année, la période commerciale s'étendra du  mercredi 26 juin au mardi 6 août. C'est la dernière fois qu'elle durera six semaines. En effet, les soldes d'hiver 2020 seront ramenés à quatre semaines en application de la loi Pacte. 

Comme le rappelle la DGCCRF, « la revente à perte est autorisée pendant ces opérations commerciales », mais « les limitations de garanties sur les soldes sont illégales ». De plus amples informations sont disponibles par ici.

La date nationale du 26 juin (8h) est aussi valable pour les boutiques en ligne, mais quelques départements font exceptions : les soldes débuteront le 3 juillet dans les Alpes-Maritimes et le 10 juillet en Corse.