Dans le paysage en constante évolution de la cybersécurité, de nouvelles menaces émergent constamment, nécessitant des mesures proactives pour assurer la sécurité des environnements en ligne. Un avis du Centre canadien des opérations de sécurité partagée (Canadian Shared Security Operations Centre, CanSSOC) a récemment mis en évidence les risques associés à l’utilisation abusive de domaines de premier niveau (top-level domain, TLD). Cet article explore les préoccupations soulevées par CanSSOC et présente une solution efficace, CIRA DNS Firewall, qui peut aider à atténuer ces risques.
Comprendre les risques
L’avis du CanSSOC met l’accent sur l’introduction de huit nouveaux TLD par Google en mai 2023, y compris des noms de domaine de premier niveau apparemment inoffensifs comme .dad, .esq, .prof, .phd, .nexus et .foo. Cependant, ce sont les TLD .zip et .mov qui ont capté l’attention de la communauté de Ils sont préoccupés parce que .zip et .mov sont des extensions de fichiers courantes, ce qui les rend susceptibles à une mauvaise utilisation par des personnes malveillantes qui cherchent à créer des liens d’hameçonnage convaincants.
L’avis fournit les exemples suivants pour illustrer les menaces potentielles :
Examinez ce lien, qui mène à une archive zip légitime hébergée sur GitHub et se comporte comme prévu :
https://github.com/kubernetes/kubernetes/archive/refs/tags/v1.27.1.zip
Maintenant, regardez ce lien trompeur :
https://github.com∕kubernetes∕kubernetes∕archive∕refs∕tags∕@v1271.zip
Ce lien redirigera l’utilisateur.rice vers https://v1271.zip pour lancer une cyberattaque. Pour que ces liens d’hameçonnage semblent authentiques et trompent des utilisateurs.rices peu méfiants, les pirates utilisent les caractères Unicode, en particulier le symbole @ et les caractères Unicode U+2044 (aussi appelés barre de fraction) et U+2215 (aussi appelés barre de division). L’avis décrit également la tactique astucieuse de modifier la taille de la police du symbole @ pour la rendre presque invisible. Par exemple, le symbole @ dans l’URL trompeuse ci-dessus lorsqu’il est réduit à la taille de police 1 donne l’apparence suivante :
Ce faisant, le symbole @ fonctionne toujours dans le cadre de l’URL, mais conduit les utilisateurs.rices vers des destinations malveillantes.
La technique utilisée pour former de telles URL trompeuses exploite les deux caractéristiques suivantes des URL :
L’interprétation de l’URL : tout ce qui précède le symbole @ dans une URL est considéré comme des informations d’utilisateur.rice, comme les identifiants de connexion et tout ce qui suit est traité comme un nom d’hôte.
Le contournement des caractères Unicode : les barres obliques (/) ne sont pas autorisées dans les renseignements sur l’utilisateur.rice et entraîneraient le navigateur à interpréter tout ce qui suit la barre oblique comme nom d’hôte. Cependant, les attaquants contournent cette limite en utilisant les caractères Unicode U+2044 ou U+2215 qui ressemblent tous deux à la barre oblique de fraction normale (/), mais qui ne sont pas traités comme tels par le navigateur. Par exemple, l’URL https://google.com∕gmail∕[email protected] dirigerait l’utilisateur.rice vers bing.com au lieu de google.com, exploitant le caractère Unicode pour tromper l’utilisateur.rice.
Les techniques comme celle-ci rendent plus difficile pour les utilisateurs.rices d’identifier les menaces potentielles et d’augmenter la probabilité qu’ils interagissent sans le savoir avec du contenu nuisible.
Débat entre chercheurs en sécurité
L’émergence de ces nouveaux TLD a suscité un débat entre les professionnels de la sécurité concernant le niveau de risque qu’ils posent. Bien que certains soutiennent que les protections des navigateurs et les mesures défensives existantes peuvent protéger adéquatement les utilisateurs.rices, d’autres croient que ces nouveaux TLD rendent la lutte contre les cybermenaces encore plus compliquée. En fait, certain.e.s .
Tout cela se produit alors que de plus en plus de Canadiens s’inquiètent du risque que posent les cyberattaques. Afin à faire progresser le dialogue national du Canada sur le rôle d’Internet dans notre vie de tous les jours, CIRA publie son sondage intitulé Dossier documentaire sur Internet au Canada chaque année. Le Dossier documentaire de 2023 montre que les préoccupations concernant les logiciels malveillants ont continué à augmenter de façon constante. Les trois quarts (75 %) des répondants au sondage sont préoccupés par les logiciels malveillants, contre 66 % en 2022. En fait, 19 % des répondant.e.s disent avoir été victimes d’une cyberattaque réussie. Le sondage montre également que plus d’un tiers des répondant.e.s (34 %) ont déclaré avoir utilisé des outils ou des services de cybersécurité pour accroître leur confidentialité et leur sécurité en ligne.
Découvrez comment un pare-feu DNS peut vous aider
Une solution de sécurité DNS, comme le CIRA DNS Firewall offert par , peut efficacement combattre les menaces que pose l’utilisation abusive des TLD. Ce service novateur habilite les professionnels des TI comme les administrateurs.rices de système et le personnel des opérations de sécurité en leur permettant de bloquer des TLD spécifiques au niveau de l’entreprise, y compris ceux qui ressemblent à des extensions de fichiers courantes comme .zip et .mov. En mettant en œuvre le pare-feu CIRA DNS Firewall, les organisations obtiennent un plus grand contrôle sur la sécurité de leur réseau, minimisant le risque de tomber victimes de tentatives d’hameçonnage et d’autres Le rythme toujours croissant de ces cyberattaques est tout simplement impossible à égaler grâce aux efforts humains manuels des administrateurs de la sécurité du réseau qui doivent constamment mettre à jour leur liste d’URL bloquées et de courriels d’hameçonnage. En revanche, un service tel que le pare-feu DNS CIRA Firewall exploite la puissance des flux de menaces de sécurité générés régulièrement par des organismes comme CanSSOC, le Centre canadien de cybersécurité et Cybertip, à l’aide de l’intelligence artificielle (IA), de l’apprentissage automatique et de l’analyse des données afin de mettre à jour automatiquement la liste de blocage avec Environ 100 000 nouveaux domaines sont ajoutés à cette liste chaque jour. Ainsi, une technologie comme celle-ci aide grandement à renforcer la défense globale d’une organisation contre les plus récentes menaces émergentes auxquelles l’effort humain manuel ne peut tout simplement pas faire face.
Conclusion
Au fur et à mesure que l’Internet continue d’évoluer, les menaces qui mettent en péril la sécurité en ligne évoluent aussi. Les risques associés à la mauvaise utilisation des TLD, en particulier ceux qui ressemblent à des extensions de fichiers courantes, exigent des réponses Le pare-feu DNS CIRA Firewall offre une solution pratique et efficace à cette préoccupation croissante. En habilitant les utilisateurs.rices à bloquer des TLD spécifiques, comme .zip et .mov, le pare-feu DNS CIRA Firewall fournit aux individus et aux organisations les outils nécessaires pour protéger leurs réseaux contre les tentatives d’hameçonnage et d’autres activités malveillantes. Le pare-feu DNS CIRA Firewall peut vous aider à vous démarquer dans la lutte constante contre les cybermenaces.
Vous souhaitez commencer à utiliser un DNS protégé?
Apprenez-en davantage sur la solution de DNS protégé de CIRA en cliquant ici : DNS Firewall.
