Sea Turtle
Des opérateurs iraniens n’ont pas pénétré leurs cibles. Ils ont détourné les enregistrements DNS qui y dirigeaient les visiteurs et ont intercepté le trafic dès la porte d’entrée.
En avril 2019, Cisco Talos publie une divulgation inhabituelle. Une campagne pluriannuelle, attribuée aux services de renseignement iraniens, détournait silencieusement les enregistrements DNS d’administrations, de fournisseurs télécoms et d’entreprises d’infrastructure internet au Moyen-Orient, en Afrique du Nord et en Europe. La campagne, baptisée Sea Turtle par Talos, ne s’attaquait pas directement à ses cibles. Elle manipulait la couche qui résolvait leurs noms.
Un homme du milieu, dans le résolveur
Les opérateurs s’en prennent aux registrars et aux opérateurs de ccTLD — la plomberie institutionnelle qui décide quelle adresse IP correspond à un nom de domaine donné. Une fois capables de modifier les enregistrements DNS d’une cible, ils peuvent rediriger le trafic email, le trafic web et même les requêtes de validation de certificats TLS vers des serveurs sous leur contrôle. Les navigateurs et clients courriel n’ont aucun moyen de s’en rendre compte ; les certificats que les attaquants obtiennent sont fraîchement émis par des autorités de certification légitimes, en réponse à des requêtes de validation de contrôle de domaine auxquelles ce sont les attaquants eux-mêmes qui répondent.
Le nettoyage exige non seulement de corriger les enregistrements DNS affectés, mais de révoquer tout certificat émis pendant la fenêtre de détournement, de faire tourner tout identifiant transmis sur le trafic dérouté, et de notifier les utilisateurs dont les jetons d’authentification ont pu être capturés. Le dommage est difficile à borner.
Un problème d’infrastructure permanent
Le choix des cibles de Sea Turtle a fait du dossier une référence dans les discussions de sécurité des infrastructures internet. L’adoption de DNSSEC parmi les ccTLD s’est accélérée. Les registres ont resserré les contrôles d’accès des comptes et ajouté de la vérification hors bande pour les changements d’enregistrement. La CISA et ses homologues européens ont publié des directives d’urgence.
Ce que la chronique retient
Sea Turtle a été la démonstration canonique que le DNS lui-même est une cible qui mérite d’être attaquée et que quelques compromissions de registrars bien placées peuvent silencieusement remplacer une intrusion directe bien plus difficile. La leçon a reformé la façon dont les opérateurs d’infrastructure internet pensaient à qui se trouvait réellement de l’autre côté de leurs pages d’administration.