Sécurité informatique : le DNS à la rescousse !

Merci qui ? Le DNS ! 

 

Les incidents liés à des sites web victimes d’une infection « en passant » (drive-by infection) se multiplient, tout comme les ordinateurs bloqués par des rançongiciels (ransomwares)

Rappelons qu’il est essentiel de mettre à jour et de corriger régulièrement son système d’exploitation, d'utiliser un antivirus avec une base virale à jour, et d’avoir le réflexe : « Stop – Je réfléchis – Je ne clique pas ». Mais nous pouvons aller encore plus loin pour protéger nos ordinateurs : appeler le DNS à la rescousse.

Le DNS, acronyme de Domain Name System (ou système de noms de domaine), traduit les adresses web des sites que vous visitez (comme « http://cern.ch ») en un format utilisable par la machine (l'adresse IP, ici 188.184.9.234). Depuis des années, nous surveillons les requêtes DNS envoyées par votre navigateur favori (il s’agit en fait de  votre système d'exploitation, mais ça n'a pas d'importance ici) et nous vous informons automatiquement si votre ordinateur essaie d’accéder à un site connu pour héberger un contenu malveillant, lequel pourrait infecter votre ordinateur et compromettre votre mot de passe et vos données, et vous rendre la vie très difficile. En parallèle, nous avons utilisé, et continuerons d'utiliser, le DNS pour bloquer certaines adresses web dont on sait qu’elles sont malveillantes et employées pour nuire à l’Organisation. De la même façon, nous bloquons certains domaines dont le nom ressemble étrangement à « cern.ch », comme « cem.ch » ou « cern.cn » (aviez-vous remarqué la différence ?) afin de protéger le CERN contre le typo-squattage.

Mais le DNS peut faire encore mieux. Grâce à l'équipe réseau du département IT, son infrastructure a été renforcée et le nouveau dispositif est plus résistant aux attaques par déni de service (« DoS » pour denial-of-service en anglais). Il présente aussi d'autres avantages, comme le pare-feu DNS. Notre fournisseur d’accès, SWITCH, collecte et fournit une liste de domaines malveillants notoires, dont la configuration DNS peut être intégrée par le nouveau DNS, ce qui permet de les bloquer automatiquement. Par conséquent, la prochaine fois que vous tomberez sur une de nos pages d’alerte au hameçonnage (quand un site tente de voler votre mot de passe) ou aux logiciels malveillants, vous nous devrez une fière chandelle. Votre ordinateur sera probablement passé tout près de l'infection*. 

* Attention, nous ne pouvons protéger vos ordinateurs que lorsqu'ils sont connectés au réseau CERN. Chez vous, le logiciel frauduleux pourrait bien réussir son attaque !


N'hésitez pas à contacter l'équipe de la Sécurité informatique ou à consulter notre site web.

Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).


Accédez à la collection complète d'articles de l'équipe de la Sécurité informatique ici.

par Stefan Lueders, Computer Security Team