Rapport d’incident complet

10.07.2017 - écrit par  dans Noms de domaine

Vendredi 7 juillet, nous vous informions qu’une connexion frauduleuse chez l’un de nos partenaires techniques avait entraîné la modification des serveurs de noms [NS] de 751 domaines et renvoyé leur trafic vers un site malveillant.

Nos équipes ont été rapidement informées et ont procédé à la correction de l’ensemble des informations relatives aux serveurs de noms des domaines impactés.

Nos investigations étant à présent terminées, nous souhaitons revenir sur ces évènements et répondre aux préoccupations de nos clients.

 

Avant toute chose, il est nécessaire d’expliciter le contexte :

Gandi gère aujourd’hui plus de 2,1 millions de noms de domaine sur 730 extensions avec plus de 200 registres. L’accréditation auprès de ces registres présente un volet contractuel important mais également un volet technique complexe.

Nous devons en effet être en mesure de nous connecter à l’ensemble des plateformes techniques des registres ou des partenaires qui assurent le rôle d’intermédiaire technique. A ce jour, nous sommes techniquement connectés à plus de 150 plateformes techniques de registres ou de partenaires.

L’incident qui s’est produit vendredi concerne uniquement l’un de ces partenaires techniques, que nous utilisons pour gérer les noms de domaines de 34 extensions, essentiellement géographiques.

 

Chronologie des évènements du 7 juillet 2017 (en heure CEST / Paris)

  • 13:57 : Un registre nous informe que des modifications suspectes sont effectuées
  • 13:58 : Nous ouvrons un incident en interne et commençons nos recherches
  • 13:59 : Nous identifions une connexion suspecte avec notre partenaire technique
  • 14:10 : Nous bloquons l’attaque en modifiant nos identifiants de connexion auprès du partenaire
  • 14:30 : Nous travaillons à identifier l’ensemble des changements frauduleux avec notre partenaire
  • 14:53 : Nous démarrons la procédure d’annulation des changements frauduleux de serveurs de nom auprès des registres
  • 15:36 : Les changements frauduleux sont annulés auprès des registres.
  • 15:50 : Nous lançons un nouvelle procédure d’annulation sur des domaines identifiés entre temps.
  • 16:00 : Nos équipes techniques poursuivent en parallèle leurs investigations pour s’assurer de la sécurité de nos infrastructures.
  • 16:29 : Nous émettons une première communication sur cet incident.
  • 17:00 : Les registres effectuent peu à peu les modifications sur leurs serveurs, la mise à jour des registres des .ES et .SE étant un peu plus longue.
  • 17:32 : Nous mettons à jour notre communication avec les dernières informations
  • 18:00 : Nous contactons les autorités françaises compétentes.
  • 18:15 : L’ensemble des registres ont procédé aux modifications des serveurs de nom.
  • 19:00 : Nous avons quelques pistes sur l’origine de l’incident mais toujours pas de certitudes.
  • 19:50 : Nous sommes à présent certain que les modifications frauduleuses ont été effectuées via l’interface d’administration web de notre partenaire
  • 20:00 : Nous travaillons en parallèle sur l’analyse des serveurs malveillants afin de comprendre les impacts de cet incident
  • 22:41 : Un premier rapport d’incident est publié en français
  • 22:42 : Nous vérifions l’émission éventuelle de certificats SSL sur les domaines impactés via Certificate Transparency
  • 23:23 : Le rapport d’incident est publié en anglais
  • 23:56 : Nos investigations nous permettent de confirmer que chaque domaine impacté a vu ses pointeurs MX et SPF (TXT) modifiés pendant la durée de l’attaque.
  • 01:02 : Les autorités françaises nous notifient de la réception de notre signalement.
  • 01:30 : Nos équipes techniques poursuivent leur audit de sécurité sur l’ensemble de notre infrastructure pour s’assurer de son intégrité.

 

Les points à retenir :

1. Pendant combien de temps les serveurs de domaine ont ils été modifiés ?

La première modification a été effectuée à 10:04 et la dernière à 11:44 CEST. Nous avons procédé à l’annulation de ces modifications à 15:50 CEST.

En prenant en compte les délais de provisionnement côté registres et les TTL des zones, les modifications frauduleuses sont restées en place entre maximum 8 et 11 heures .

A 18:15 CEST, l’ensemble des modifications frauduleuses avaient été annulées chez les registres et il a fallu attendre le délai de propagation (jusqu’à 3 heures après cette heure) pour être certains que l’ensemble des modifications avaient été correctement annulées.

 

2. Quel a été l’impact sur les domaines concernés ?

Les serveurs DNS (NS) ont été configurés avec des entrées A www.votredomaine.tld et votredomaine.tld. Ces enregistrements pointaient vers des serveurs malveillants.

Vous pouvez consulter l’article de Switch, registre du .CH, qui a procédé à l’analyse des failles exploitées par les sites malveillants vers lesquels le trafic a été renvoyé.

Globalement, pendant la durée de l’attaque, les visiteurs des sites impactés ont été redirigés vers une infrastructure louée de type Exploit Kit (EK), rendant le trafic HTTPS impossible. Ce type d’infrastructure est en mesure de compromettre les navigateurs et systèmes d’exploitation des visiteurs, de manière différente en fonction :
– De l’objectif fixé par l’attaquant qui a loué l’Exploit Kit,
– De la géolocalisation des visiteurs et des vulnérabilités existant sur leur navigateur et leur système.

Les enregistrements de type MX ont également été configurés avec des informations SPF valides, mais selon l’analyse de scrt.ch, il semblerait que l’infrastructure mail pointée ne soit pas fonctionnelle.

 

3. Qu’en est-il des certificats SSL sur les domaines impactés ?

Nous avons effectué une vérification pour l’ensemble des domaines impactés en utilisant Certificate Transparency  sur l’ensemble des journaux publics d’émission de certificat.

Dix-huit certificats ont été émis sur ces domaines pendant la durée de l’incident. Après vérification manuelle de chacun des 18 certificats émis, nous les avons considéré comme légitimes car les propriétaires étaient en possession des clés privées associées à chacun d’eux.

Plusieurs sociétés fournissent des services gratuits pour requêter le contenu des journaux Certificate Transparency, parmi lesquelles :

  • Google
  • Facebook, qui vous permet également de recevoir des notifications lorsqu’un certificat est signé pour votre domaine,
  • crt.sh (note: la syntaxe %.google.com vous permet de chercher les sous-domaines).

 

4. Comment cette attaque a-t’elle été rendue possible ?

Avant tout, il ne s’agit pas d’une intrusion sur nos systèmes mais bien d’un accès non-autorisé au portail d’administration web de notre partenaire technique. Il n’y pas eu non plus d’intrusion sur les systèmes de notre partenaire, l’attaquant ayant utilisé nos identifiants pour se connecter à cette interface.

Ces identifiants n’ont a priori pas été volés suite à une intrusion sur nos systèmes, et nous suspectons fortement qu’ils aient été récupérés à l’occasion d’une connexion non-sécurisée sur l’interface de notre partenaire (la plateforme d’administration en question permettant la connexion en HTTP).

Nous tâchons d’activer systématiquement tous les mécanismes de sécurité disponibles auprès de nos différents partenaires (TOTP, restriction via IP, etc…). Malheureusement, ces mécanismes rendus disponibles par le partenaire en 2016 n’ont pas été identifiés lors de notre dernier audit de sécurité.

 

5. Quels sont les mesures prises depuis cet incident ?

L’ensemble des identifiants de connexion auprès de nos 150 registres et partenaires techniques sont actuellement en cours de réinitialisation.

Un audit de sécurité a été lancé sur l’ensemble de notre infrastructure interne comme externe.

Nous passons également en revue l’ensemble des mécanismes de sécurité disponibles auprès des registres et des partenaires techniques afin de vérifier qu’ils ont bien été activés partout où cela était possible.

 

6. Pourquoi avoir attendu pour communiquer ?

Nous avons voulu gagner du temps pour mettre en place les mesures de protection et commencer à investiguer avant que l’attaquant ne se rende compte qu’il était repéré. Cela a impliqué un délai dans la communication publique, mais ne signifie en aucun cas que nos équipes aient attendu pour bloquer l’attaque ou corriger les modifications frauduleuses.

 

Nous regrettons que cet incident ait pu avoir lieu. Soyez assurés que notre priorité reste la sécurité de vos données et que nous continuerons à les protéger face à l’évolution des menaces.