Bonnes pratiques DNS : un cas d’école…

Dans le contexte actuel, lorsque le site d’une grande entreprise devient inaccessible, il est tentant d’incriminer une tentative d’attaque, dirigée ou non. Pourtant, comme on l’a vu il y a quelques jours, le problème peut aussi provenir d’une simple erreur interne. Faisons le point.

Le 20 juin, l’ensemble des sites de la banque BNP Paribas ont été inaccessibles pendant plusieurs heures. Les spéculations sont allées bon train, mais puisqu’il semble désormais clair qu’il ne s’agit pas d’une attaque, l’occasion est bonne pour revenir sur les fondamentaux du Domain Name System (Système de Nom de Domaine) et de son rôle critique dans l’accessibilité des sites.

On le sait, le DNS permet de faire correspondre l’adresse IP d’un serveur donné à un nom de domaine plus facile à mémoriser (mabanque.bnpparibas en l’espèce). Dans la mesure où les sites de commerce électronique reçoivent de très nombreuses connexions en même temps, il est de bonne pratique d’allouer plusieurs serveurs DNS par nom de domaine, pour que la charge de ces nombreuses connexions soit répartie et ainsi lutter contre l’engorgement. Ces serveurs sont donc critiques, notamment en cas d’attaque de Déni de Service (DDoS) qui ont déjà été plusieurs fois présents dans l’actualité.

Ici cependant, comme le révèle Stéphane Bortzmeyer, le spécialiste DNS de l’AFNIC dans son compte rendu très détaillé, la banque n’assigne que deux serveurs DNS à ses noms, dont l’un n’a pas fonctionné pendant quelques heures et l’autre… n’existe pas. En creusant un peu on découvre que les deux serveurs listés sont sns5.bnpparibas.net et ns6.bnpparibas.net mais que ce dernier n’est en fait pas présent sur Internet (alors que sns6.bnpparibas.fr est bien actif, lui). La banque a déclaré à la presse qu’il s’agissait d’un problème de Firewall et n’a pas souhaité s’exprimer plus avant sur le sujet, même si l’expert de l’AFNIC constatait le 22 juin que l’adresse du deuxième serveur DNS n’avait toujours pas été modifiée.

Le cas de BNP Paribas n’est bien sûr qu’un exemple, mais il est riche d’enseignements. On peut aussi le rapprocher d’un autre problème qui a aussi touché le monde bancaire, le 14 juin, lorsque de nombreux clients de grandes banques Françaises n’ont pas réussi à valider leurs transactions en ligne en raison d’un problème avec la plateforme 3D Secure. Pour rappel, cette dernière renvoie le consommateur vers un micro-site de sa banque pour qu’il puisse valider l’utilisation de sa carte de crédit – en rentrant un code reçu par SMS par exemple – lors de la finalisation d’un achat en ligne. Le transfert du site marchant vers le micro-site de la banque concernée passe bien sûr par un lien Internet constitué d’un sous-domaine – qui reprend le nom de la banque – et du nom de domaine « .wlp-acs.com ». Ce nom de domaine est assez connu car le prestataire de solutions 3D Secure fournit aux sites marchands un texte standard pour prévenir les clients potentiels qui mentionne spécifiquement « l’URL du site [qui] débute par https://[votrebanque].wlp-acs.com »… Pourtant, on sait désormais que le nom de domaine a expiré le 12 juin et a été renouvelé dans l’urgence le 14. Dans l’intervalle, les sites marchands qui voulaient envoyer leurs clients vers le microsite de leurs banques (bnpparibas.wlp-acs.com par exemple) ont généré des erreurs puisque le nom de domaine ne répondait plus, et pour cause.

Ces exemples récents peuvent heureusement servir aux autres entreprises. En effet, s’il est primordial pour une entreprise de s’entourer des protections disponibles (certificats SSL, système anti DDoS, veille contre le cybersquatting), « on n’est sécurisé qu’à hauteur de son plus faible lien ». Si la formule est éculée, elle reste d’actualité : le nom de domaine et le système DNS lui-même constituent la pierre angulaire de la connectivité d’un site, c’est d’eux que dépendent l’accès des clients aux ressources de l’entreprise et l’utilisation qu’ils pourront faire – ou non ! – des services proposés.

Les équipes techniques de SafeBrands conseillent régulièrement leurs clients sur l’optimisation de leur architecture DNS. Pour un audit de votre infrastructure DNS et de vos noms de domaine critiques, n’hésitez pas à nous contacter.