Projet de R&D: classification automatique des abus en matière de noms de domaine

Cristian Hesselman (Responsable du SIDN Labs), Benoît Ampeau (Directeur Partneriats et Innovations, Afnic Labs) et Maciej Korczyński (Professeur associé)

SIDN Labs, Afnic Labs et l'Université Grenoble Alpes ont lancé le 1^er octobre 2018 un nouveau projet de recherche baptisé « Classification différenciée des noms de domaines détournés et des noms de domaines enregistrés aux fins d'actes de malveillance » (COMAR). Le projet franco-néerlandais aura pour objet de concevoir un outil permettant d'opérer une distinction automatique entre les noms de domaine enregistrés par des cybercriminels aux fins d'actes de malveillance et les noms de domaine usurpés au moyen d'applications Web vulnérables. Ce projet vise à aider les intermédiaires tels que les bureaux d'enregistrement et les registres de ccTLD à perfectionner leurs procédures de lutte contre les abus en matière de noms de domaine.

Qu'est-ce qu'un abus en matière de nom de domaine ?

Les noms de domaine sont une reformulation en langage courant d'adresse IP, qui facilite la navigation sur les nombreux services en ligne que nous utilisons au quotidien. Si les enregistrements et utilisations de noms de domaine sont, dans la plupart des cas, parfaitement légitimes, certains d'entre eux sont malheureusement utilisés par des cybercriminels pour lancer des attaques d’hameçonnage (phishing), d'infection par téléchargement de programmes malveillants (drive-by download) ou encore mener des campagnes de spam à grande échelle. Les organismes de sécurité informatique tels que l'APWG (Anti-Phishing Working Group) et Stop Badware collectent sur ces pratiques frauduleuses des informations qu'ils mettent à la disposition de leurs clients (hébergeurs, registres de noms de domaine, etc.) sous forme de « listes noires » d'URL.

Différence entre détournement de nom de domaine et enregistrement de nom de domaine aux fins d'actes de malveillance

En matière de noms de domaine, professionnels du secteur et chercheurs distinguent deux types d'abus perpétrés par les cybercriminels : le détournement (usurpation) d'un nom de domaine légitime d'une part, et l'enregistrement d'un nouveau nom de domaine visant spécifiquement à commettre des actes frauduleux d'autre part. studentflats.gr est un exemple de nom de domaine usurpé : ce site légitime, développé sous Wordpress, a été piraté par des cybercriminels pour héberger un site d'hameçonnage visant la collecte de données bancaires. Cette malversation apparaît dans l’URL du site, qui a fait l'objet d'une inscription sur liste noire (http://studentflats.gr/wp-content/uploads/2016/.co.nz/login/personal-banking/login/auth_security.php) : un script bancaire (/uploads/…/auth_security.php) a été installé de manière illicite dans le répertoire Wordpress (/wp-content).
continue-details.com, en revanche, est un exemple de nom de domaine enregistré aux fins d'actes de malveillance ; ce nom de domaine a été utilisé pour un site de phishing ciblant les utilisateurs du service Paypal. Comme on le voit, l'URL du site ((http://paypal.com.login.continue-details.com/), également inscrite sur liste noire, ne contient pas explicitement de programme malveillant tel qu'un script PHP, mais renvoie vers un site spécialement conçu pour le phishing au moyen d'un nom de domaine de cinquième niveau (continue-details.com correspondant aux premier et deuxième niveaux, et paypal.com.login. ajoutant trois niveaux supplémentaires).

Il est essentiel d'opérer une distinction entre ces deux types d'abus, chacun nécessitant de la part des différents intermédiaires concernés des mesures spécifiques de réduction des risques. Ainsi, en règle générale, hébergeurs et webmasters concentrent leurs efforts sur le nettoyage du contenu des sites Web détournés [3], tandis que les registres de noms de domaine (comme SIDN et l'Afnic) et les bureaux d'enregistrement se consacrent davantage à la lutte contre les enregistrements de noms de domaine à des fins malveillantes.

Une classification basée sur les listes noires

D'un point de vue opérationnel, les intermédiaires utilisent généralement des listes noires d'URL dans leurs systèmes de sécurité pour bloquer automatiquement les contenus malveillants. Toutefois, dans le cas des noms de domaine usurpés, l'approche mise en œuvre en matière de réduction des risques se doit d'être plus fine. Par exemple, si un intermédiaire se contente de bloquer le site studentflats.gr, il bloque également la partie légitime de ce site (soit les contenus Wordpress proposés aux internautes). Par conséquent, l'approche recommandée consiste, pour l'ingénieur sécurité, à examiner l'installation Wordpress du site et à supprimer manuellement (ou automatiquement) le script PHP malveillant de la plate-forme d'hébergement. Cet exemple montre à quel point il est essentiel d’étiqueter de façon claire les noms de domaine des URL inscrites sur liste noire en précisant s'il s'agit de noms de domaine détournés ou enregistrés aux fins d'actes de malveillance, afin que ces listes puissent être utilisées de manière fiable par les systèmes de sécurité.

L'objectif ultime du projet COMAR est de concevoir un outil de classification basé sur l’apprentissage automatique et capable d'opérer une distinction entre les noms de domaine sur liste noire selon que ceux-ci ont été détournés ou enregistrés à des fins malveillantes ; dans un second temps, la précision de cet outil sera évaluée de manière approfondie, avant son déploiement en environnement de production. Nous prévoyons également d'étudier les pratiques des cybercriminels en matière de maximisation des bénéfices, ainsi que leur modèle économique. Notre outil de classification sera appliqué aux noms de domaine non étiquetés figurant sur les listes noires d'URL, notamment, pour répondre à la question suivante : dans le cadre de leurs activités criminelles, les auteurs de cyberattaques préfèrent-ils enregistrer des noms de domaine aux fins d'actes de malveillance, détourner des sites Web vulnérables ou utiliser frauduleusement les noms de domaine de services légitimes, tels que les services de partage de fichiers basés sur le Cloud ?

Capacités et missions des partenaires

Les trois partenaires du projet COMAR ont acquis une expérience approfondie en matière d’analyse de grands ensembles de données hétérogènes et de conception des plates-formes associées. Les travaux de l'Université Grenoble Alpes porteront essentiellement sur l'analyse statistique des données issues de vastes campagnes de mesure et de signalement des incidents sur Internet ainsi que sur la publication d'articles scientifiques ; de leur côté, les deux laboratoires des registres néerlandais et français auront pour mission de perfectionner l'outil de classification COMAR en vue de son déploiement en environnement opérationnel (au sein du SIDN et de l'Afnic, notamment) et de mettre cet outil à disposition de leurs parties prenantes, parmi lesquelles les bureaux d'enregistrement des noms de domaine en .nl et .fr. La complémentarité de l'approche mise en œuvre dans le cadre de ce partenariat reflète la nécessité, pour les registres, de renforcer continuellement leurs capacités afin d'augmenter les niveaux de sécurité de leurs domaines de premier niveau (TLD) et, partant, de renforcer la confiance des utilisateurs finaux

Sourena Maroofi, étudiant en Doctorat à l'Université Grenoble Alpes, sera chargé de développer et d'évaluer l'outil de classification COMAR, sous la supervision de Maciej Korczyński, Chercheur principal du projet COMAR. Le projet COMAR, co-financé par le SIDN et l’Afnic, débutera en octobre 2018 et durera trois ans. Le comité de pilotage du projet est composé de Cristian Hesselman (SIDN Labs), Benoît Ampeau (Afnic Labs) et Maciej Korczyński (équipe Drakkar, Grenoble INP, Université Grenoble Alpes).

À propos des partenaires du projet COMAR

 COMAR est un projet conjoint réunissant SIDN Labs, Afnic Labs et l'Université Grenoble Alpes.

• SIDN Labs est l'équipe de recherche du SIDN, registre du domaine de premier niveau (TLD) .nl dans le Système de noms de domaine (DNS). Le SIDN a pour mission de renforcer la sécurité opérationnelle et la résilience des communications Internet de bout en bout grâce à des travaux de recherche et de développement technologique de premier ordre, basés sur des mesures objectives. Les défis qui se posent à nos chercheurs incluent la sécurité et la résilience du DNS et de l'Internet, ainsi que le développement d'Internet.

• Afnic Labs est une équipe stratégique dédiée au développement et à l'avenir d'Internet au sein de l'Afnic. L'Afnic gère le TLD .fr et 5 autres TLD pour les départements d'Outre-mer. L'Afnic est également opérateur technique (back-end registry) pour 14 entreprises et administrations locales et régionales qui ont choisi d'avoir leur propre extension TLD. Chaque jour, Afnic Labs met en place et alimente des projets conformes aux missions de l'AFNIC : contribuer au développement d’un Internet sûr et stable, ouvert à l'innovation, dans lequel la communauté internet française joue un rôle de premier plan. À l'instar des autres partenariats de l'Afnic, Afnic Labs croit en la valeur ajoutée des travaux de recherche collaboratifs, qui permettront à terme de fournir un outil de classification de pointe, hautement performant et éprouvé.

• L'Université Grenoble Alpes a pour mission de créer dans la région Rhône-Alpes un pôle d'excellence en matière de recherche en cybersécurité, axé notamment sur les mesures de cybersécurité actives et passives. Les membres de l’équipe Drakkar participent à des projets menés en collaboration avec les forces de l'ordre, les organismes de sécurité et les agences de réglementation d'Internet qui luttent contre la cybercriminalité. Notre mission porte essentiellement sur l'analyse statistique des données issues de vastes campagnes de mesure et de signalement des incidents sur Internet, dans le but d'identifier les différentes pratiques d'abus de noms de domaine des cybercriminels, ainsi que les mesures prises par les fournisseurs de services Internet pour traiter les risques et les incidents de sécurité. Le projet COMAR est au cœur de ces préoccupations.

• Sites web du projet : www.comar-project.fr et www.comar-project.nl (bientôt disponibles).

Pour en savoir plus

• « Cybercrime After the Sunrise: A Statistical Analysis of DNS Abuse in New gTLDs », Maciej Korczynski, Maarten Wullink, Samaneh Tajalizadehkhoob, Giovane C.M. Moura, Arman Noroozian, Drew Bagley et Cristian Hesselman, compte rendu de la Conférence ACM AsiaCCS, Corée, juin 2018.

• « Global Phishing Survey: Trends and Domain Name Use in 2016 », Greg Aaron et Rod Rasmussen ; disponible à l'adresse : http://docs.apwg.org/reports/APWG_Global_ Phishing_Report_2015-2016.pdf, 2017.

• « Herding Vulnerable Cats: A Statistical Approach to Disentangle Joint Responsibility for Web Security in Shared Hosting », Samaneh Tajalizadehkhoob, Tom van Goethem, Maciej Korczyński, Arman Noroozian, Rainer Bohme, Tyler Moore, Wouter Joosen et Michel van Eeten, compte rendu de la Conférence ACM CCS, octobre 2017.