Rapport d’incident du 7 juillet 2017
Màj (10.07.2017): un rapport d’incident complet est maintenant disponible ici
Vendredi 7 juillet à 13:00 CEST, un incident est survenu suite à une connexion non autorisée chez un partenaire technique qui nous permet de gérer plusieurs extensions géographiques par son intermédiaire.
On dénombre 751 noms de domaines au total concernés par cette situation qui a entraîné une modification frauduleuse de leur serveurs de nom [NS] et renvoyé leur trafic vers un site malveillant exploitant diverses failles de navigateurs.
Un correctif a été déployé sur l’ensemble des noms de domaine concernés entre 14:50 (CEST) et 15:30 (CEST), permettant un rapide retour à la normale pour la majorité des domaines.
Ces corrections nécessitant également une mise à jour du côté du registre, certains noms de domaine ont été impactés plus durablement (c’est notamment le cas des noms de domaine en .ES). A 20:02 CEST, l’ensemble des opérations de correction avaient été traitées par les différents registres.
Dès l’identification de cet incident, nos équipes techniques et celles de notre partenaire ont activement collaboré pour résoudre cet incident de sécurité et identifier l’origine des modifications frauduleuses.
En parallèle, nos équipes techniques travaillent à la vérification de l’ensemble de nos systèmes afin de s’assurer que les infrastructures de Gandi n’ont pas été compromises. L’ensemble des analyses menées jusqu’à présent démontrent que ce n’est pas le cas. Nous nous orientons vers une faiblesse de sécurisation des connexions avec ce partenaire.
Switch, registre du .CH, a également procédé à l’analyse de l’incident, qui a permis l’utilisation des noms de domaine à des fins de propagation de logiciels malveillants. Vous pourrez retrouver cette analyse en anglais sur leur blog.
Nous vous encourageons vivement à informer vos clients de cette situation afin qu’ils puissent procéder aux vérifications et prendre les mesures de sécurité nécessaires.
Nous sommes conscients des impacts de cette situation sur votre activité. Dès que nous avons constaté l’attaque, nous avons tout mis en oeuvre pour endiguer, restaurer et sécuriser vos domaines le plus rapidement possible. Nous vous prions néanmoins de bien vouloir accepter nos excuses pour la gêne occasionnée.
—
Liste détaillée des extentions impactées :
.ASIA, .AT, .AU, .CAT, .CH, .CM, .CZ, .ES, .GR, .HK, .IM, .IT, .JP, .LA, .LI, .LT, .LV, .MG, .MS, .MU, .NL, .NU, .NZ, .PE, .PH, .PL, .RO, .RU, .SE, .SH, .SI, .SX, .UA, .XN–P1AI (.рф).