jeudi 24 janvier 2019

Les États-Unis prennent des mesures importantes contre la cybermenace du régime iranien


Les États-Unis prennent des mesures importantes contre la cybermenace du régime iranien
Le Département Américain de la Sécurité Intérieure (DHS) a pris la mesure sans précédent de publier une directive d'urgence demandant aux agences gouvernementales de prendre des mesures immédiates pour protéger l'infrastructure du DNS, en réponse à une campagne d'attaque majeure du régime iranien.

La CISA (Cybersecurity and Infrastructure Security Agency), Agence de Cybersécurité et de sécurité des infrastructures, a récemment publié la directive « Atténuation de l’infrastructure DNS perturbée », qui explique en quoi le collectif de piratage informatique du régime iranien s’infiltre dans les systèmes DNS afin d’interrompre et de rediriger le trafic Web et les emails.
Il a expliqué que les pirates iraniens obtenaient ou compromettaient des identifiants d'utilisateurs afin de modifier les enregistrements DNS en dirigeant les utilisateurs vers une fausse page de connexion permettant de sauvegarder une copie des informations d'identification avant de les rediriger vers la bonne page.
La directive était la suivante : « L’attaquant pouvant définir des valeurs d’enregistrement DNS, il peut également obtenir des certificats de chiffrement valides pour les noms de domaine d’une entreprise. Cela permet de déchiffrer le trafic redirigé, exposant ainsi toutes les données soumises par l'utilisateur. Comme le certificat est valide pour le domaine, les utilisateurs finaux ne reçoivent aucun avertissement d'erreur. ”
Ce système de phishing iranien a été observé sur plusieurs domaines gérés par des agences exécutives. La CISA exige donc que toutes ces agences gouvernementales vérifient leurs enregistrements DNS sur tous les domaines .gov et domaines connexes dans un délai de 10 jours afin de vérifier si le problème a été résolu. et signaler tout problème rencontré.
La CISA a également indiqué que pendant cette période de 10 jours, les utilisateurs mettaient à jour les mots de passe de tout compte pouvant modifier les enregistrements DNS et implémentaient une authentification multifactorielle, ce qui signifie qu'ils se connectaient à leurs comptes à l'aide d'un code envoyé à leur téléphone ou à leur adresse email. S'il est vrai que les pirates iraniens ont parfois été en mesure de déjouer l'authentification multifactorielle lors de la dernière cyberattaque, cela s'est appuyé sur la saisie du code par l'utilisateur dans un délai très court et a présenté un obstacle supplémentaire pour les pirates iraniens.
La CISA a également indiqué que les agences devront prendre part à une nouvelle initiative relative à la transparence des certificats et surveiller toutes les données de journalisation des certificats délivrés qu'elles n'auraient pas demandées, car il est clair que cela risque de tomber entre de mauvaises mains.
Étant donné que cet ordre est publié dans le cadre de la plus longue fermeture gouvernementale de l'histoire des États-Unis, cela montre à quel point le gouvernement américain prend au sérieux la menace iranienne.
Plus tôt ce mois-ci, la société de sécurité informatique FireEye a expliqué qu’une campagne mondiale de détournement de DNS ciblant des dizaines de domaines gérés par le gouvernement, des télécommunications et des fournisseurs d’infrastructure Internet au Moyen-Orient, en Afrique du Nord, en Europe et en Amérique du Nord avait été rattachée à l’Iran. Nous pensons que les pirates du régime iranien recherchaient des informations confidentielles auprès des gouvernements du Moyen-Orient.

Aucun commentaire:

Enregistrer un commentaire