TLD et Cybersécurité : Pourquoi votre Pare-feu devrait bloquer certains domaines de premier niveau ?
L’intérêt des domaines de premier niveau (TLD)
Bien que souvent peu considérés dans la protection des entreprises, les domaines de premier niveau (TLD) jouent un rôle majeur pour les attaquants. En bloquant les TLD reconnus comme malveillants ou principalement utilisés à des fins malveillantes, il est possible d’améliorer significativement la sécurité d’une entreprise avec un impact minimal sur son fonctionnement.
Les domaines de premiers niveaux ou Top-Level Domain représentent la partie la plus générique de toute la hiérarchie DNS, également appelée extension de domaine.
Les TLD ouverts
Au delà des TLD les plus connus (*.fr / *.com / *.org …) il existe également des TLD ouverts, ce qui signifie qu’aucune restriction n’est appliquée lors de l’enregistrement d’un nouveau domaine utilisant cette extension. Certains d’entre eux peuvent être gratuits ou très abordables. Ce sont ces derniers qui présentent un intérêt particulier pour les attaquants.
Le danger des TLD ouverts
En effet, certains de ces domaines de premier niveau ouverts hébergent des activités malveillantes, telles que de fausses pages d’authentification. Ces pages d’authentification frauduleuses sont ensuite exploitées dans des campagnes d’hameçonnage (phishing).
Un exemple concret peut être observé dans un des courriels de phishing que le SOC Synetis a identifié :
| Lien présent dans un mail de phishing : | click[.]pic-time[.]net |
| Les redirections : | mfismadison[.]com haleyfoster[.]com |
| Site avec la fausse page d’authentification : | login[.]mslogstagingapi-migrationsrv[.]icu |
Se protéger contre les domaines de premier niveau malveillants
Il est préconisé de bloquer certains domaines de premier niveau (TLD) reconnus comme étant malveillants ou le plus souvent associés à des activités frauduleuses. Cette mesure a un impact significatif sur la sécurisation du parc informatique. Voici une liste de TLD qui peuvent être bloqués :
app
autos
bar
bid
buzz
cam
cfd
click
club
country
cyou
date
dev
download
faith
host
icu
kim
link
makeup
men
monster
motorcycles
ninja
online
page
party
quest
racing
review
rocks
sbs
science
site
space
store
stream
surf
tokyo
top
win
work
wtf
xin
xxx
xyz
zip
Nous préconisons de bloquer ces TLD au niveau des pare-feux et d’établir une liste blanche (whitelist) pour les exceptions marginales si nécessaire.
Vous avez également la possibilité d’étendre ce blocage en interdisant des TLD (y compris pour les adresses IP) sur votre pare-feu, en ciblant des zones géographiques avec lesquelles votre entreprise n’entretient aucune relation. Certains pays proposent leurs domaines réservés à des tarifs très compétitifs où sont moins regardants sur leur utilisation, en voici un échantillon :
am : Arménie
bd : Bangladesh
cd: Rép. Démocratique du Congo
cf : République centrafricaine
ci: Côte d’Ivoire
cm: Cameroun
cn : Chine
ee : Estonie
ga : Gabon
gd : Grenade
gq : Guinée équatoriale
ke : Kenya
ml : Mali
mw: Malawi
my : Malaisie
na : Namibie
pw : Palaos
ru :Russie
su : Union soviétique
sx: Saint-Martin
vg: îles Vierges britanniques
zw: Zimbabwe
Créer une liste de blocage dynamique grâce à la Cyber Threat Intelligence (CTI)
Ces mesures constituent des bases pour l’élaboration d’une liste de blocage initiale. Cependant, il est essentiel d’aller au-delà et d’assurer une liste dynamique ainsi que sa maintenance régulière. Pour ce faire, il est nécessaire d’exploiter la Cyber Threat Intelligence (CTI) afin d’intégrer le flux d’informations sur les menaces et de les ajouter à votre SIEM ou pare-feu. À cela s’ajoute la sensibilisation des utilisateurs, qui demeure la clé de voûte pour limiter les risques, notamment d’attaques par ingénierie socle.
Ces mesures s’intègrent dans un écosystème qui nécessite d’être cohérent. Vous souhaitez éprouver votre stratégie actuelle ou vous faire appuyer par des experts, n’hésitez pas à contacter nos équipes.
