Dans le paysage en constante évolution de la cybersécurité, l’adaptation et l’innovation sont primordiales. Cependant, certaines avancées, bien que prometteuses, peuvent involontairement introduire des vulnérabilités. L’émergence du DNS sur HTTPS (DoH) et les risques de cybersécurité qui y sont associés dans les environnements d’entreprise en sont un exemple notable. Initialement conçu pour renforcer la confidentialité et la sécurité des utilisateurs, DoH, lorsqu’il est exploité par des acteurs malveillants, peut compromettre de manière significative la position de sécurité d’une entreprise.
DNS ? DoH ? De quoi s’agit-il ?
Considérez l’internet comme une vaste ville et chaque site web comme un bâtiment à l’intérieur de celle-ci. Comment trouver l’emplacement exact (adresse IP) du site web que vous souhaitez visiter (comme « google.com ») ? Vous consultez le répertoire numérique connu sous le nom de système de noms de domaine (DNS).
À la base, le DNS est un système qui traduit les noms de domaine conviviaux en adresses IP, que les ordinateurs utilisent pour s’identifier les uns les autres sur le réseau. Au lieu de se souvenir d’une séquence complexe de chiffres comme 2a00:1450:400c:0c00:0000:0000:0000:0065, nous nous souvenons de « google.com » et le DNS fait le gros du travail.
Les requêtes DNS traditionnelles reviennent à envoyer une carte postale – ouverte à tous ceux qui peuvent l’intercepter et lire où vous vous dirigez sur l’internet. En outre, l’entreprise ou le fournisseur d’accès à l’internet se charge souvent de la résolution des noms symboliques en adresses et peut donc enregistrer vos requêtes. Cependant, le DNS sur HTTPS (DoH) révolutionne ce processus. Il encapsule votre « carte postale » dans une enveloppe sécurisée, ce qui complique considérablement les efforts des espions pour suivre vos destinations sur l’internet. Pour parvenir à cette sécurité accrue, DoH exploite le protocole sécurisé HTTPS, utilisé de la même manière pour protéger votre trafic web des regards indiscrets.
DoH : La menace fantôme pour la cybersécurité des entreprises
Le DNS sur HTTPS (DoH) est conçu pour améliorer la confidentialité et la sécurité des utilisateurs du web. En chiffrant les requêtes DNS dans le trafic HTTPS normal, il peut rendre les actions en ligne plus privées et les mettre à l’abri des oreilles indiscrètes. Dans un monde où la vie privée en ligne devient un bien précieux, DoH semble être un pas dans la bonne direction. Mais pour les entreprises, ce même cryptage présente des défis qui ne peuvent être ignorés.
Historiquement, les mesures traditionnelles de sécurité des réseaux dépendent fortement de la surveillance du trafic DNS, un élément essentiel pour identifier et atténuer les risques de cybersécurité du ministère de la santé dans les entreprises. Grâce à cette vigilance, les entreprises ont pu surveiller les requêtes de domaine suspectes, bloquer l’accès à des sites web potentiellement dangereux et détecter les communications de logiciels malveillants avec des serveurs de commande et de contrôle. Néanmoins, l’avènement de DoH dissimule effectivement ces requêtes DNS, les rendant invisibles aux yeux des outils de surveillance conventionnels. Ce qui était auparavant un flux de données transparent devient maintenant opaque, ce qui empêche les outils de cybersécurité de faire la différence entre le trafic web normal et les requêtes DNS potentiellement nuisibles, amplifiant ainsi les risques de cybersécurité liés à la DoH dans les environnements d’entreprise.
Exfiltration de données
L’exfiltration silencieuse de données est l’un des risques les plus graves posés par la DoH. Dans un monde où le cyber-espionnage se développe, la valeur des données des entreprises n’a jamais été aussi élevée. La propriété intellectuelle, les données financières, les informations sur les clients et les plans stratégiques sont de l’or pour les cybercriminels.
Avec DoH, les acteurs malveillants ont la possibilité de siphonner furtivement des données. Ils y parviennent en les intégrant dans le trafic HTTPS crypté, ce qui permet à l’extraction de données de se fondre de manière transparente dans le trafic web standard. Par conséquent, cette intégration rend la détection exceptionnellement difficile, car les activités malveillantes sont dissimulées sous l’apparence d’une utilisation normale de l’internet.
Communication des logiciels malveillants
Tout comme les humains, les logiciels malveillants et leurs contrôleurs dépendent de la communication. Les serveurs de commande et de contrôle dictent les actions des logiciels malveillants, de la collecte de données au lancement d’autres attaques. Traditionnellement, ces communications constituaient un maillon faible, détectable par l’analyse du trafic DNS.
Avec DoH, le paysage change radicalement pour les cybercriminels, qui voient leur vulnérabilité réduite. Grâce à cette technologie, les logiciels malveillants ont la possibilité de communiquer discrètement avec leur contrôleur, leurs signaux étant cryptés et camouflés dans le trafic web ordinaire. Cette évolution complique considérablement l’identification et la neutralisation des logiciels malveillants, ce qui leur donne plus de temps pour faire des ravages ou proliférer sur le réseau d’une entreprise.
Naviguer dans la DoH en entreprise : Les bons et les mauvais côtés
La distinction entre l’utilisation légitime et l’utilisation malveillante constitue un autre défi pour la DoH. Tous les cas d’utilisation de la DoH ne sont pas néfastes. De nombreux navigateurs modernes ont commencé à adopter la DoH pour améliorer la protection de la vie privée des utilisateurs. Cela signifie qu’une entreprise peut constater une augmentation du trafic DoH simplement en raison d’une mise à jour du navigateur.
Cependant, dans ce contexte, un cybercriminel pourrait utiliser DoH à des fins malveillantes. Faire la distinction entre les deux devient une tâche complexe, qui nécessite des solutions de cybersécurité avancées et un changement dans les approches traditionnelles de détection des menaces.
Bots et portes dérobées
L’une des principales préoccupations liées à la DoH dans un contexte d’entreprise est son exploitation potentielle par des bots et des portes dérobées. Ces entités malveillantes peuvent s’appuyer sur le DoH pour établir des canaux secrets, échapper aux mécanismes de détection traditionnels basés sur le DNS et même exfiltrer des données sensibles.
Le risque indéniable de la DoH dans la sécurité des entreprises
Si le DNS sur HTTPS (DoH) améliore indéniablement la confidentialité pour les utilisateurs individuels, dans le contexte des risques de cybersécurité liés au DoH dans les environnements d’entreprise, cette méthode cryptée de résolution des noms de domaine pose un formidable défi. Le voile de confidentialité qu’elle introduit, bien que bénéfique dans certains contextes, peut également être exploité, incarnant une épée à double tranchant pour les entreprises. C’est pourquoi il convient d’examiner de plus près les risques spécifiques de cybersécurité associés à l’avènement de la DoH dans les entreprises.
1. La perte de visibilité et le défi du ministère de la santé
Le risque le plus immédiat de DoH est la perte de visibilité du trafic DNS, un élément essentiel de nombreux systèmes de surveillance de la sécurité.
La surveillance DNS traditionnelle permet de détecter les menaces, les anomalies et les violations potentielles de données en analysant les requêtes DNS non cryptées. Avec DoH, il est impossible de distinguer ces requêtes du trafic HTTPS normal. Les entreprises auront plus de mal à faire la distinction entre le trafic authentique, les requêtes DoH bénignes et les requêtes DoH malveillantes. Ce flou complique considérablement l’analyse des menaces.
2. L’inefficacité des outils de sécurité contre DoH
De nombreux outils de sécurité reposent sur la transparence du trafic DNS pour fonctionner efficacement.
Les pare-feu qui utilisent des règles basées sur les domaines pour bloquer les domaines malveillants perdent de leur efficacité car ils ne peuvent pas voir les requêtes DNS réelles lorsque DoH est utilisé. Les outils conçus pour détecter les violations de données en surveillant les requêtes DNS à la recherche de transferts de données importants ou suspects peuvent manquer des tentatives d’exfiltration cachées dans DoH.
3. Activités furtives des logiciels malveillants
Le DoH constitue un canal presque parfait pour permettre aux logiciels malveillants de communiquer avec leurs serveurs de commande et de contrôle.
Les logiciels malveillants et les réseaux de zombies peuvent exploiter le DoH pour recevoir clandestinement des commandes ou acheminer des données, en contournant les mécanismes de détection traditionnels basés sur le DNS. Cette liberté de communiquer via le DoH permet aux logiciels malveillants d’évoluer en réponse aux mesures défensives, de télécharger des mises à jour ou de se propager sur le réseau, étendant ainsi leur présence et amplifiant leurs effets.
4. Exfiltration clandestine de données via le ministère de la santé
Avec DoH, l’exfiltration des données est transparente et presque indétectable.
Des informations sensibles peuvent être extraites secrètement, en se fondant de manière transparente dans le trafic web normal, ce qui réduit la probabilité d’une détection et d’une réaction rapides. Compte tenu de la confiance inhérente au protocole HTTPS, cette confiance peut malheureusement être manipulée par des acteurs malveillants pour faire passer des données en contrebande sans être détecté et sans entrave.
5. Augmentation du temps de réponse aux incidents
Dans le cas malheureux d’une violation ou d’un cyberincident, le DoH peut augmenter le temps nécessaire pour identifier, comprendre et répondre à la menace.
Le cryptage des requêtes DNS signifie que la détection d’une activité inhabituelle ou malveillante peut prendre plus de temps, offrant ainsi aux adversaires plus de possibilités d’infliger des dommages ou d’exfiltrer des données. En outre, sans accès aux données DNS transparentes, l’enquête sur les origines, la portée et les techniques d’une attaque devient un défi plus difficile à relever, ce qui empêche une résolution rapide et la mise en œuvre de mesures préventives efficaces pour la sécurité future.
6. Mauvaise répartition des ressources
La présence de DoH peut conduire les entreprises à mal répartir leurs ressources en matière de sécurité.
Les systèmes de sécurité peuvent considérer le trafic DoH bénin comme suspect en raison de sa nature cryptée, ce qui conduit à des investigations inutiles. Avec l’afflux de menaces potentielles dû à l’incapacité de discerner le trafic DoH, les équipes de sécurité risquent d’être surchargées et de passer à côté de menaces réelles.
7. Défis liés à l’application des politiques
Les entreprises ont souvent des politiques visant à restreindre l’accès à des sites web ou à des services spécifiques pour diverses raisons, notamment la productivité, la gestion de la bande passante et la sécurité.
Avec l’avènement du DoH, les utilisateurs acquièrent la capacité de contourner les restrictions établies, accédant ainsi à des contenus qui ont été bloqués et introduisant éventuellement des vulnérabilités en matière de sécurité. En outre, dans les secteurs soumis à des réglementations strictes, la visibilité réduite des requêtes DNS pourrait entraîner le non-respect des normes industrielles, ce qui pourrait entraîner des pénalités ou éroder la confiance.
Atténuer les risques de cybersécurité du ministère de la santé dans les entreprises : Une approche proactive
Bien que la DoH pose des défis considérables au paysage de la cybersécurité des entreprises, tout espoir n’est pas perdu. Plusieurs stratégies peuvent être employées pour contrecarrer les risques présentés par la DoH. Examinons ces solutions potentielles.
1. Contrôle du point final DoH
L’une des approches les plus simples consiste à désactiver la fonctionnalité DoH sur tous les terminaux d’entreprise gérés. La plupart des navigateurs modernes et des systèmes d’exploitation qui prennent en charge la fonction DoH proposent des paramètres de configuration pour la désactiver.
2. Exploiter l’inspection approfondie des paquets (DPI) pour atténuer les menaces de la DoH
En mettant en œuvre l’inspection approfondie des paquets, les entreprises peuvent décrypter et inspecter le trafic HTTPS, identifier et bloquer les requêtes DoH.
NB : bien qu’efficace, cette méthode peut soulever des problèmes de protection de la vie privée, en particulier si elle est mise en œuvre sans que les employés soient clairement informés de la nature et de l’objectif de cette surveillance.
3. Détection de DoH au niveau du réseau
Au lieu de se fier uniquement au contenu du trafic réseau, les entreprises peuvent utiliser des outils qui détectent les anomalies dans les modèles de comportement. Par exemple, un pic soudain du trafic HTTPS vers un domaine précédemment inconnu peut constituer un signal d’alarme. Ces outils peuvent être combinés à des flux de renseignements sur les menaces en temps réel pour améliorer la détection du trafic DoH malveillant.
4. Blocage externe du ministère de la santé
Bien que la DoH puisse contourner les filtres DNS traditionnels, ces filtres peuvent toujours être utiles. En tenant à jour une liste de blocage des fournisseurs de DoH connus, en la révisant et en l’adaptant régulièrement, les entreprises peuvent atténuer le risque posé par les serveurs DoH externes.
5. Formation et sensibilisation des employés
Un grand nombre de risques peuvent être traités par l’éducation des utilisateurs. En informant les employés des dangers et des conséquences associés à la DoH, et en clarifiant la position et les politiques de l’entreprise en la matière, les organisations peuvent renforcer leur première ligne de défense.
Encouragez les employés à utiliser des navigateurs et des configurations approuvés par l’entreprise. Proposer des outils et des plugins qui donnent la priorité à la sécurité peut également détourner les employés d’alternatives potentiellement dangereuses.
6. La chasse aux menaces stratégiques
Au lieu d’attendre que les menaces se manifestent, employez des professionnels de la cybersécurité pour rechercher activement les signes de compromission. En recherchant régulièrement dans l’environnement de l’entreprise des indicateurs d’abus du DoH, on peut découvrir des menaces cachées.
Autres lectures
DNS-over-HTTPS cause plus de problèmes qu’il n’en résout, selon les experts | ZDNET
NSA – Adoption de DNS cryptés dans les environnements d’entreprise
Conclusion
Pour faire face à l’évolution des risques de cybersécurité du ministère de la santé dans les entreprises, il est essentiel que les mesures traditionnelles de sécurité du réseau s’adaptent. Historiquement, ces mesures s’appuient sur la surveillance du trafic DNS pour identifier les requêtes de domaine suspectes, bloquer les sites web nuisibles et détecter les communications de logiciels malveillants. Or, DoH dissimule ces requêtes dans un trafic crypté, ce qui les rend invisibles pour les outils de surveillance standard. Ce qui était auparavant un flux de données transparent devient maintenant opaque, mettant les outils de cybersécurité au défi de distinguer le trafic web bénin des requêtes DNS potentiellement malveillantes, soulignant ainsi l’importance de la vigilance à l’égard des risques de cybersécurité du DoH dans les entreprises.
Vous vous inquiétez des pièges potentiels du DNS sur HTTPS au sein de votre organisation ? Notre équipe d’experts est prête à vous aider à comprendre ces défis et à élaborer des stratégies efficaces pour protéger votre réseau. Laissez-nous vous aider à naviguer dans les méandres du DoH, en veillant à ce que votre entreprise reste sécurisée sans compromettre son efficacité. Contactez-nous, et ensemble, nous renforcerons vos défenses contre les menaces cachées des requêtes DNS cryptées.
