Le courrier électronique détient les clés du royaume. Toutes les réinitialisations de mot de passe passent par le courrier électronique, et l'abandon d'un ancien nom de domaine permet aux attaquants de réenregistrer facilement l'ancien domaine et de récupérer des données. Ce problème est particulièrement aigu pour les cabinets d'avocats où les partenariats se forment, se dissolvent et fusionnent souvent, comme le souligne le chercheur en sécurité Gabor Szathmari. Une fusion ou une acquisition se traduit souvent soit par un changement de marque pour le nouveau cabinet, avec son nouveau nom de domaine associé, soit à l'abandon de l’ancienne marque et de l’ancien nom de domaine par le cabinet racheté. Or, il est dangereux de laisser ces anciens domaines expirer. « Aux États-Unis, 2017 a été une année record pour les fusions de cabinets d'avocats », a écrit le chercheur. « Il y a eu 102 fusions ou acquisitions entre gros cabinets d'avocats et probablement plusieurs milliers entre petits cabinets ».
Pour donner une idée de l'ampleur du problème, Gabor Szathmari a réenregistré d'anciens noms de domaine pour plusieurs cabinets d'avocats qui avaient fusionné, et mis en place un serveur de courrier électronique. Et, sans rien pirater, il affirme avoir reçu un flux constant d'informations confidentielles, y compris de la correspondance bancaire, des factures d'autres cabinets d'avocats, des documents juridiques sensibles de clients, et des mises à jour LinkedIn. (Il a ensuite restitué les noms de domaine à leurs propriétaires d'origine).
Utiliser les noms de domaine abandonnés pour commettre des fraudes
Or, selon le chercheur, il serait facile d’utiliser la même technique pour commettre des fraudes. « En rétablissant une boutique en ligne fonctionnant autrefois sur un nom de domaine désormais abandonné, des acteurs malveillants pourraient télécharger les pages web originales depuis archive.org, puis prendre des commandes et effectuer de nouveaux paiements en se faisant passer pour une boutique en ligne tout à fait fonctionnelle », a-t-il déclaré par courriel. « Si l'ancienne boutique en ligne disposait d'un système de gestion de la relation client (CRM) ou d’un MailChimp, les criminels pourraient accéder à la liste des anciens clients en reprenant ces comptes avec un mot de passe réinitialisé par courrier électronique », a-t-il ajouté. Ils pourraient leur offrir un code de réduction spécial pour les encourager à passer des commandes qui ne seraient jamais livrées. Et il n’y a pas de limite à ce genre de fraude ».
Les noms de domaine expirés sont mis à jour et publiés quotidiennement par les registres de noms de domaine sous forme de listes de dépôt de noms de domaine. Il ne faut pas être un génie pour télécharger ces listes au jour le jour et les comparer aux actualités de fusions et d'acquisitions dans les annonces professionnelles, ou simplement réenregistrer tout nom de domaine selon son bon plaisir. Gabor Szathmari a également pu utiliser les noms de domaine réenregistrés pour accéder à des mots de passe de tierces parties en utilisant HaveIBeenPwned.com et SpyCloud.com. Ces deux services procèdent à une vérification du nom de domaine, mais le processus est facile à contourner quand on est propriétaire du domaine en question. Comme la réutilisation des mots de passe reste monnaie courante, M. Szathmari explique qu'il aurait pu facilement utiliser ces mots de passe de tiers pour compromettre les employés concernés, y compris leur vie professionnelle et personnelle.
Conserver ses anciens domaines
Mieux vaut prévenir que guérir. Les noms de domaine ne coûtent pas cher, et conserver la propriété d’anciens domaines revient à payer pour une police d'assurance contre les cyberattaques, mais à un prix défiant toute concurrence. M. Szathmari recommande de mettre en place un service de courrier électronique fourre-tout qui redirige tous les courriers électroniques entrants vers un administrateur de confiance, quelqu'un qui peut examiner la correspondance adressée aux anciens et actuels membres du personnel, également pour rediriger les courriers électroniques de réinitialisation de mot de passe pour les services en ligne.
Ne pas abandonner le sous-domaine
Le détournement de sous-domaine consiste, pour un attaquant, à s'emparer d'un sous-domaine, du genre subdomain.yourdomain.com. Cela se produit généralement lorsque le propriétaire du domaine ferme un service fonctionnant sur le sous-domaine, et oublie de mettre à jour l'enregistrement de son sous-domaine DNS qui continue à pointer vers un service inexistant. Au début de l'année, Microsoft a commis cette erreur de débutant, en ne sécurisant pas deux sous-domaines que les spammeurs utilisaient pour promouvoir les casinos de poker en ligne. Si Microsoft, lui-même éditeur de logiciels de sécurité, peut commettre cette erreur, alors aucune entreprise n’est à l’abri. Ce cas de prise de contrôle de sous-domaine est très courant : une entreprise crée un sous-domaine pour pointer vers un service tiers, comme GitHub Pages, Heroku ou Shopify. Si par exemple, elle met fin à ce service et supprime son compte GitHub Pages, un attaquant peut alors réenregistrer ce compte GitHub Pages (puisqu'il est désormais accessible à tous les visiteurs) et publier ce qu'il veut sur subdomain.yourdomain.com.
Empêcher un rachat de sous-domaine
Aucun des outils de sécurité sophistiqués et coûteux existant ne peut empêcher la prise de contrôle d'un sous-domaine. En la matière, tout est affaire de coordination. Qui gère le DNS de votre entreprise ? Qui approuve l’usage des sous-domaines pour les tickets d'assistance ou le commerce électronique, ou qui remplit les formulaires ? Où se trouve le classeur, numérique ou papier, qui documente et vérifie la propriété des sous-domaines quand ils ne sont plus utilisés ? La sécurité est un processus, pas un produit, et cette évidence devient très claire quand il s'agit de résoudre la question du rachat de sous-domaines. Cela peut devenir un problème surtout dans les grandes entreprises où l’IT et la sécurité sont traités par des départements séparés. La gestion des entrées DNS est généralement de la responsabilité de l’IT - faire en sorte que mon truc soit en ligne pour que je puisse faire mon travail. Mais, une fois qu'il est en ligne, qui s'assure qu'il est toujours utilisé ? À quel département incombe cette vérification ? Compte tenu de la banalité d'une attaque par reprise de sous-domaine, de l'atteinte à la réputation de votre marque qu'elle peut créer et du peu d'efforts qu’il faut pour y remédier - il suffit de modifier les paramètres DNS -, on peut dire que ça vaut la peine d’intégrer une vérification régulière des sous-domaines dans le flux de sécurité de l’entreprise.