Le domaine accédant à votre réseau peut ne pas être ce qu'il semble. La façade de domaine permet à un attaquant de se faufiler à partir de ce qui semble être une source légitime.
On dit que tout est juste à la guerre. Les cybercriminels mettent tout en œuvre pour gagner la cyberguerre en mettant en œuvre tous les moyens possibles pour attaquer des victimes sans méfiance pour leurs données. Ils déploient les plus grandes tromperies pour masquer leur identité et vous surprendre avec des techniques telles que les attaques de façade de domaine.
Ce domaine apparemment légitime accédant à votre réseau peut ne pas être légitime après tout. Pour autant que vous le sachiez, un attaquant pourrait le diriger pour vous mettre dans un coin serré. C'est ce qu'on appelle une attaque de façade de domaine. Y a-t-il quelque chose que vous pouvez faire à ce sujet ?
Qu'est-ce qu'une attaque de façade de domaine?
Dans le cadre de la réglementation d'Internet, certains pays empêchent les citoyens d'accéder à des contenus en ligne et à des sites Web spécifiques en bloquant le trafic des utilisateurs sur leur territoire. Dans l'impossibilité d'accéder légitimement à ces sites Internet mis sur liste noire, certaines personnes recherchent des moyens d'accès non autorisés.
La façade de domaine est un processus par lequel un utilisateur déguise son domaine pour accéder à un site Web auquel il est interdit d'accéder dans son emplacement. Une attaque de façade de domaine, en revanche, est un processus de façade d'un domaine légitime avec les techniques de façade de domaine, pour attaquer un réseau.
À l'origine, la façade de domaine n'était pas un moyen de cyberattaque. Les utilisateurs non malveillants pourraient l'utiliser pour contourner la censure contre certains domaines dans leur emplacement. Par exemple, en Chine continentale où YouTube est interdit, un utilisateur peut utiliser la façade de domaine pour accéder à YouTube à des fins de divertissement inoffensives sans compromettre le compte de quiconque. Mais voyant que c'était un moyen pratique de contourner les contrôles de sécurité, les cybercriminels l'ont détourné pour leurs gains égoïstes, d'où le facteur d'attaque.
Comment fonctionne une attaque de façade de domaine?
Pour contourner la censure sur le terrain, un acteur de domaine prend l'identité d'un internaute légitime, généralement d'un emplacement géographique différent. Le réseau de diffusion de contenu (CDN), un référentiel de serveurs proxy à travers le monde, joue un rôle majeur dans une attaque de façade de domaine.
Lorsque vous souhaitez accéder à un site Web, vous déclenchez les requêtes suivantes :
- DNS : Votre appareil connecté à Internet possède une adresse IP. Cette adresse est unique et exclusive à votre appareil. Lorsque vous tentez d'accéder à un site Web, vous lancer une demande de système de nom de domaine (DNS) qui convertit votre nom de domaine en adresse IP.
- HTTP : La demande de protocole de transfert hypertexte (HTTP) connecte votre demande d'accès à des hypertextes au sein du World Wide Web (WWW).
- TLS : La demande de sécurité de la couche de transport (TLS) convertit vos commandes HTTP en HTTPS via le chiffrement et sécurise les entrées entre vos navigateurs Web et vos serveurs.
Fondamentalement, un DNS convertit votre nom de domaine en une adresse IP, et l'adresse IP s'exécute sur une connexion HTTP ou HTTPS. La conversion de votre nom de domaine en adresse IP ne change pas votre domaine; ça reste le même. Mais dans la façade de domaine, alors que votre domaine reste le même dans le DNS et le TLS, il change dans le HTTPS. Les enregistrements DNS affichent le domaine légitime mais le HTTPS redirige vers un domaine interdit.
Par exemple, vous vivez dans un pays où example.com est bloqué mais vous souhaitez quand même y accéder. Votre objectif est d'accéder à example.com en utilisant un site Web légitime tel que makeuseof.com. Les requêtes adressées à votre DNS et TLS pointeront vers makeuseof.com mais votre connexion HTTPS pointera vers example.com.
La façade de domaine tire parti de la sécurité avancée de HTTPS pour reussir. Étant donné que HTTPS est crypté, il peut contourner les protocoles de sécurité sans être détecté.
Les cybercriminels exploitent le scénario ci-dessus pour lancer des attaques de domaine. Au lieu de faire face à un domaine légitime pour accéder à des sites Web dont ils sont restreints en raison de la censure, ils font face à un domaine légitime pour voler des données et effectuer des tâches nuisibles associées.
Comment empêcher les attaques de façade de domaine
En lançant des attaques de façade de domaine, les cybercriminels ne font pas face à n'importe quel domaine légitime, mais à des domaines hautement classés. Et c'est parce que ces domaines ont la réputation d'être authentiques. Vous n'auriez naturellement aucune raison de vous méfier lorsque vous repérez un domaine légitime sur votre réseau.
Vous pouvez empêcher les attaques de façade de domaine des manières suivantes.
Installer un serveur proxy
UN le serveur proxy est un intermédiaire ou un intermédiaire entre vous (votre appareil) et Internet. C'est un système de sécurité qui empêche les utilisateurs d'accéder directement à Internet, d'autant plus que le trafic des utilisateurs peut être nuisible. En d'autres termes, il filtre le trafic pour vérifier les vecteurs de menace avant de l'autoriser dans une application Web.
Pour empêcher la façade de domaine, configurez votre serveur proxy pour intercepter toutes les communications TLS et assurez-vous que l'en-tête de l'hôte HTTP est le même que celui redirigé par HTTPS. En fonction de vos paramètres, le système refusera l'accès s'il détecte une incompatibilité.
Évitez les entrées DNS pendantes
Toutes les entrées de votre DNS sont censées diriger l'entrée du trafic vers des canaux désignés. Lorsque vous faites une entrée que le DNS ne peut pas traiter en raison de l'absence de la ressource, vous avez un enregistrement DNS en suspens.
Un enregistrement DNS est suspendu lorsqu'il est mal configuré ou obsolète et qu'il n'est pas utile aux commandes DNS. Cela crée de la place pour les attaques de domaine, car les pirates utilisent les entrées pour leurs activités malveillantes.
Pour empêcher les attaques de façade de domaine de bloquer les entrées DNS, vous devez toujours garder vos enregistrements DNS propres. Effectuez un assainissement régulier pour vérifier les entrées anciennes et obsolètes et supprimez-les. Vous pouvez utiliser un outil de surveillance DNS pour automatiser le processus. Il génère une liste de toutes vos ressources actives dans les enregistrements DNS et distingue celles qui ne sont pas actives.
Adoptez la signature de code
La signature de code est la signature de logiciels avec des signatures numériques telles que l'infrastructure à clé publique (PKI) pour montrer aux utilisateurs que le logiciel est intact sans aucune altération. L'objectif principal de la signature de code est de garantir aux utilisateurs que l'application qu'ils téléchargent est authentique.
La signature de code vous permet de signer votre domaine et d'autres ressources dans vos enregistrements DNS pour mettre en valeur leur intégrité et établir une chaîne de confiance entre eux. Le système ne validera ni ne traitera aucune ressource ou commande sur laquelle la signature autorisée n'est pas imprimée.
Mettre en œuvre Zero Security Trust pour empêcher les attaques de domaine
Les attaques de domaine mettent en lumière les dangers associés au trafic de domaine. Si les pirates peuvent faire face à des plates-formes d'autorité légitimes pour pénétrer dans votre système, cela montre que vous ne pouvez faire confiance à aucune plate-forme.
La mise en œuvre de la sécurité zéro confiance est la voie à suivre. Assurez-vous que chaque trafic vers votre réseau est soumis à des contrôles de sécurité standard pour vérifier son intégrité.