Sous-domaines abandonnés : un vecteur d'attaques pour les hackeurs

0
Si la plupart des hackeurs tentent de contourner les mesures de sécurité mises en place sur les serveurs d'une entreprise, il est parfois plus simple de scruter l'architecture d'un site au global et les sous-domaines, notamment.

00C8000004187298-photo-securit-internet-logo-sq-gb.jpg
Spécialisée dans la sécurité, la société Detectify, propose un outil de scan en mode SaaS et annonce avoir mené une enquête concernant la vulnérabilité des sous-domaines. Ces derniers seraient largement laissés à l'abandon et constitueraient un vecteur d'attaques.

Un prestataire de services proposant de créer des comptes utilisateur en leur attribuant un sous-domaine peut lui-même créer son propre sous-domaine pour lancer un service ou une campagne promotionnelle pendant quelques semaines, voire quelques années. Par la suite, à la fin de cette campagne ou à la fermeture du service en question, Detectify explique que le prestataire n'efface pas systématiquement la redirection du sous-domaine pointant vers le service ou la campagne. Or, un internaute peut donc se créer un compte chez ce prestataire de service puis obtenir ce même sous-domaine et orchestrer une attaque de phishing, par exemple.

Cette manipulation est possible lorsque la société en question ne procède pas à la validation du détenteur de chaque sous-domaine. Et il en existerait un certain nombre parmi lesquels nous retrouvons Heroku, Github, Bitbucket, Squarespace, Shopify, Desk, Teamwork, Unbounce, Helpjuice, HelpScout, Pingdom, Tictail, Campaign Monitor, CargoCollective, StatusPage.io ou encore Tumblr.

« Nous avons également identifié 200 organisations qui s'en trouvent affectées. Dans beaucoup de cas, nous parlons de société listées au NASDAQ ou figurant dans le top 100 d'Alexa », ajoute Detectify.

Pour vérifier si une personne est bien le propriétaire d'un domaine ou d'un sous-domaine, quelques sociétés, comme Google demandent de transférer un ficher HTML via FTP ou d'ajouter une CNAME particulière dans le panneau de contrôle du nom de domaine.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

iOS 8.1 : un nouveau jailbreak controversé par l'équipe chinoise Pangu
Le réseau social Ello dit bonjour à une levée de fonds de 5,5 millions de dollars
Tinder ajoute une option payante pour étendre le potentiel de rencontres
Deezer fait l'acquisition de Stitcher pour intégrer des podcasts et des talk-shows
Move 'N See : des robots caméramans à GPS ou radar pour sportifs
Android Wear reçoit une première mise à jour majeure
Amazon paye le prix de sa stratégie de dépenses effrénées
L'éditeur graphique Pixelmator s'invite sur l'iPad
Bientôt une taxe pour l'encre et les toners ?
Rooms : Facebook ravive les passions avec un service de forums sur mobile
Haut de page