Sea Turtle : la campagne parrainée par un État qui a détourné le DNS pour espionner des gouvernements
Comment « Sea Turtle », une campagne parrainée par un État révélée par Cisco Talos en 2019, a détourné le DNS en compromettant des bureaux d'enregistrement, des registres et des fournisseurs DNS — redirigeant gouvernements, ministères et entreprises énergétiques vers des serveurs contrôlés par les attaquants, forgeant des certificats valides, et allant jusqu'à s'introduire dans un registre national de TLD.
- domains
- security
- dns
- domain-security
La plupart des cyberattaques cherchent à s'introduire dans une cible. La campagne Sea Turtle a fait quelque chose de plus discret et bien plus dangereux : elle s'est introduite dans la carte qui indique à l'ensemble d'internet où réside la cible.
Lorsque vous tapez l'adresse web d'un ministère gouvernemental, ou que vous envoyez un e-mail à ses responsables, votre ordinateur commence par interroger le système de noms de domaine — DNS — pour traduire ce nom lisible par l'humain en adresse numérique du bon serveur. Cette résolution est tellement fondamentale que presque rien sur internet ne la vérifie. Nous faisons simplement confiance au fait que le nom pointe vers le bon endroit. Les opérateurs de Sea Turtle ont parfaitement compris cette confiance, et ils ont passé plus de deux ans à en abuser pour espionner des gouvernements à travers le Moyen-Orient et l'Afrique du Nord.
Révélée par Cisco Talos en avril 2019, Sea Turtle est l'une des études de cas les plus claires dont nous disposons sur l'utilisation du DNS lui-même comme instrument d'espionnage d'État. Les attaquants n'ont pas hameçonné des employés individuels en espérant le meilleur. Ils ont ciblé les bureaux d'enregistrement, les registres et les fournisseurs DNS qui se trouvent au-dessus de leurs cibles — les institutions qui contrôlent la façon dont les noms se résolvent — et de cette position stratégique, ils ont redirigé le trafic d'organisations entières, collecté des identifiants et forgé les certificats cryptographiques qui étaient censés rendre l'usurpation d'identité impossible.
Le DNS comme cible pour l'espionnage d'État
Le DNS est parfois comparé à l'annuaire téléphonique d'internet, mais cette description sous-estime sa portée. Il ressemble davantage au système de routage postal : chaque e-mail, chaque connexion, chaque appel API commence par la résolution d'un nom. Si vous contrôlez la résolution, vous contrôlez la destination — et vous pouvez vous placer invisiblement au milieu de conversations que les deux parties croient privées et directes.
Cela fait du DNS une cible d'espionnage presque parfaite. Compromettre un seul fournisseur DNS peut exposer le trafic de toutes les organisations qui en dépendent. Et contrairement à un logiciel malveillant sur un terminal, la manipulation du DNS laisse intactes les propres machines de la victime : rien à analyser, rien à mettre en quarantaine. Les enregistrements pointent simplement vers un nouvel endroit.
Talos était direct quant au mécanisme. Comme leur rapport l'indiquait, le détournement DNS se produit lorsque l'acteur peut modifier illicitement les enregistrements DNS pour rediriger les utilisateurs vers des serveurs contrôlés par l'acteur. Simple à décrire ; dévastateur dans la pratique.
La campagne Sea Turtle (2017–2019)
Sea Turtle n'était pas une opération éclair. Talos a estimé que l'opération en cours a probablement débuté dès janvier 2017 et s'est poursuivie jusqu'au premier trimestre 2019 — plus de deux ans d'opérations patientes et persistantes.
Sur cette période, selon le décompte de Talos, au moins 40 organisations différentes dans 13 pays différents ont été compromises au cours de cette campagne. TechCrunch a résumé la portée : le groupe avait ciblé 40 agences gouvernementales et de renseignement, des entreprises de télécommunications et des géants d'internet dans 13 pays pendant plus de deux ans, avec des victimes identifiées dans des pays comme l'Arménie, ainsi que l'Égypte, la Turquie, la Suède, la Jordanie et les Émirats arabes unis.
Talos a refusé d'attribuer publiquement la campagne à un gouvernement spécifique, mais était confiant quant au niveau de l'opérateur. Comme Craig Williams de Cisco Talos l'a déclaré à TechCrunch, il s'agit d'un nouveau groupe qui opère d'une manière relativement unique que nous n'avons jamais vue auparavant, utilisant de nouvelles tactiques, techniques et procédures, et l'équipe a estimé que les principales motivations du groupe sont de mener des activités d'espionnage.
Qui était ciblé et ce qui était en jeu
La liste des victimes ressemble à une liste de collecte de renseignements idéale. Talos a identifié les cibles principales comme étant des organisations de sécurité nationale, des ministères des affaires étrangères et des organisations énergétiques de premier plan — exactement les institutions dont les communications internes un État hostile voudrait le plus lire.
Un deuxième niveau de victimes était, en un sens, encore plus révélateur. Talos a découvert que les attaquants avaient également ciblé de nombreux bureaux d'enregistrement DNS, des entreprises de télécommunications et des fournisseurs de services internet. Ces entités n'étaient pas les cibles finales ; elles étaient le moyen. En contrôlant les fournisseurs d'infrastructure, les attaquants ont obtenu le levier nécessaire pour manipuler le DNS des véritables cibles en aval.
Le résumé de BleepingComputer a bien cerné l'enjeu : les cibles principales étaient des ministères des affaires étrangères, des organisations militaires, des agences de renseignement, des entreprises énergétiques. Lorsque vous pouvez intercepter silencieusement les e-mails et le trafic de connexion d'un ministère des affaires étrangères, vous n'avez pas besoin de casser le chiffrement — vous pouvez simplement collecter les identifiants et lire le courrier au fil de son transit.
Comment cela s'est produit : détourner la chaîne de confiance
Voici ce qui rendait Sea Turtle inhabituellement sophistiqué : les attaquants allaient rarement directement vers leurs victimes. Au lieu de cela, ils remontaient la chaîne de confiance.
Le schéma, tel que reconstitué par Talos et corroboré par des reportages indépendants, se déroulait grossièrement ainsi. D'abord, obtenir un point d'ancrage chez un fournisseur DNS, un bureau d'enregistrement ou un registre — généralement par harponnage ou en exploitant une vulnérabilité connue. Avec cet accès, modifier les enregistrements DNS pour rediriger les utilisateurs légitimes de la cible vers des serveurs contrôlés par l'acteur. Ces serveurs étaient configurés comme une couche d'homme du milieu : selon BleepingComputer, les opérateurs de Sea Turtle ont mis en place un cadre homme-du-milieu (MitM) qui imitait les services légitimes utilisés par la victime dans le but de dérober des identifiants de connexion. Les victimes se connectaient à ce qui ressemblait à leur portail de messagerie ou VPN habituel, et les attaquants capturaient les identifiants légitimes des utilisateurs lorsque ceux-ci interagissaient avec ces serveurs contrôlés par l'acteur, puis les relayaient discrètement vers le vrai service pour que rien ne semble anormal.
L'élément le plus ingénieux — et le plus alarmant — était la façon dont ils ont contourné le cadenas. Rediriger le trafic est une chose ; le faire sans déclencher d'avertissement de certificat dans le navigateur en est une autre. Sea Turtle a résolu ce problème en obtenant de véritables certificats valides pour les domaines qu'ils usurpaient. Talos a découvert que les attaquants ont obtenu un certificat X.509 signé par une autorité de certification auprès d'un autre fournisseur pour le même domaine, notant que ces acteurs utilisent des certificats Let's Encrypt, Comodo, Sectigo et auto-signés sur leurs serveurs MitM. Comme ils contrôlaient les enregistrements DNS, ils pouvaient réussir les vérifications automatisées de validation de domaine sur lesquelles s'appuient les autorités de certification gratuites — et repartir avec un cadenas vert légitime pour un domaine qu'ils ne possédaient pas.
Brian Krebs, documentant la première vague étroitement liée, a décrit le même mode opératoire : les attaquants semblaient avoir modifié les enregistrements DNS pour ces domaines afin que les domaines pointent vers des serveurs en Europe qu'ils contrôlaient, puis ont pu obtenir des certificats SSL pour ces domaines auprès des fournisseurs SSL Comodo et/ou Let's Encrypt. L'une des victimes citées était mail.gov.ae, qui gère les e-mails des bureaux gouvernementaux des Émirats arabes unis.
Les compromissions de registres
Le point culminant de la campagne fut la compromission d'organisations qui n'utilisent pas simplement le DNS, mais qui le gèrent pour des pays entiers.
Le premier cas publiquement confirmé impliquait Netnod en Suède. Comme Krebs l'a rapporté, les attaquants ont obtenu l'accès à des comptes au bureau d'enregistrement de noms de domaine de Netnod, et Netnod lui-même a déclaré avoir appris son rôle dans l'attaque le 2 janvier. Crucialemment, Netnod n'était pas la destination — c'était une porte d'entrée. BleepingComputer a noté que Netnod a déclaré qu'ils n'étaient pas la cible des attaques mais une voie permettant à l'attaquant de « capturer des identifiants de connexion pour des services internet ».
Talos a décrit l'importance plus large en termes sans équivoque : les opérateurs étaient responsables du premier cas publiquement confirmé contre une organisation qui gère une zone de serveur racine. Lorsque les personnes qui gèrent une partie de l'annuaire d'adresses central d'internet peuvent être silencieusement usurpées, l'hypothèse selon laquelle le DNS est fiable par défaut cesse d'être valide.
Réponse et conséquences : ils ne se sont pas arrêtés
Le détournement DNS à cette échelle a suscité une réponse officielle. En janvier 2019, l'Agence américaine de cybersécurité et de sécurité des infrastructures a publié la Directive d'urgence 19-01, « Atténuer la falsification de l'infrastructure DNS » — la première directive d'urgence jamais émise par la CISA — ordonnant aux agences fédérales d'auditer leurs enregistrements DNS, de modifier les identifiants sur les comptes de gestion DNS et d'activer l'authentification multifacteur sur ces comptes. C'était une reconnaissance tacite que l'administration DNS était devenue un front de la sécurité nationale.
Ce qui est le plus frappant dans Sea Turtle, cependant, c'est ce qui s'est passé après son exposition. La plupart des campagnes se taisent une fois qu'un fournisseur comme Talos publie leurs méthodes. Sea Turtle a fait le contraire.
Dans un suivi de juillet 2019, Talos a rapporté que le groupe avait trouvé de nouvelles victimes, dont un registre de domaine de premier niveau national (ccTLD), qui gère les enregistrements DNS pour chaque domaine utilisant ce code de pays particulier. Plus précisément, l'Institut des sciences informatiques de la Fondation pour la recherche et la technologie - Hellas (ICS-Forth), le ccTLD pour la Grèce — l'organisme qui gère l'espace de noms .gr — a été compromis. SecurityWeek a noté que même après qu'ICS-Forth a publiquement reconnu la violation, la télémétrie de Cisco a confirmé que la compromission a persisté pendant au moins cinq jours supplémentaires.
L'évaluation du groupe par Talos était inhabituellement directe : ce groupe semble être inhabituellement audacieux et sera peu susceptible d'être dissuadé à l'avenir. Ils avaient raison. Sea Turtle n'était pas un événement isolé ; c'était une démonstration que l'espionnage au niveau du DNS fonctionne, et que ceux qui le pratiquent sont prêts à continuer ouvertement.
Ce que cela enseigne sur le DNS en tant qu'infrastructure critique
Faisons abstraction de la géopolitique : Sea Turtle laisse derrière lui un ensemble de leçons inconfortables sur le fonctionnement réel de la couche de nommage d'internet.
-
Le DNS est une chaîne de confiance, et vous n'en contrôlez pas la totalité. Votre propre sécurité est peut-être excellente. Mais la résolution de votre domaine passe par un bureau d'enregistrement et un registre, et si l'un ou l'autre est compromis, vos enregistrements peuvent être modifiés sans jamais toucher à votre réseau. Sea Turtle a prouvé que les attaquants cibleront délibérément le maillon de la chaîne sur lequel vous avez le moins de visibilité.
-
Un certificat valide n'est pas la preuve d'une destination légitime. Le cadenas vert atteste que la connexion est chiffrée vers quiconque contrôle le domaine en ce moment — et si un attaquant a détourné le DNS, c'est lui. Les certificats validés par domaine ne sont fiables que dans la mesure où le DNS contre lequel ils valident l'est également.
-
La manipulation du DNS est quasi invisible pour la victime. Aucun logiciel malveillant ne s'exécute sur les machines de la victime. Les analyseurs de terminaux ne voient rien. Le seul signal est que les enregistrements pointent vers un endroit où ils ne devraient pas — ce qui explique exactement pourquoi surveiller les enregistrements DNS pour détecter les modifications inattendues, et les verrouiller, est si important.
-
La sécurité des comptes de bureau d'enregistrement et de registre est une infrastructure de sécurité nationale. La première directive d'urgence jamais émise par la CISA portait, au fond, sur les identifiants des comptes de gestion DNS. L'authentification multifacteur, les verrous de registre et le contrôle strict de l'accès aux comptes pouvant modifier les enregistrements DNS ne sont pas de simples bonnes pratiques d'hygiène — ils font la différence entre posséder un domaine et simplement sembler le posséder.
L'angle Namefi
Sea Turtle est, à la base, une histoire sur qui est autorisé à modifier les enregistrements d'un domaine — et à quel point il est difficile pour le reste du monde de savoir quand cette autorité a été silencieusement volée.
Le modèle traditionnel concentre cette autorité dans des comptes de bureau d'enregistrement et de registre protégés, trop souvent, par rien de plus qu'un mot de passe et une adresse e-mail. Lorsque ces comptes tombent, le contrôle du domaine tombe avec eux, silencieusement. Il n'existe pas d'enregistrement intégré et indépendamment vérifiable de qui détient légitimement un nom, ni de trace inviolable lorsque le contrôle change de mains.
Namefi aborde la propriété de domaine comme quelque chose qui devrait être vérifiable et inviolable par conception, tout en restant compatible avec le DNS. La tokenisation de la propriété crée un registre auditable et ancré cryptographiquement de qui contrôle un domaine — rendant les transferts non autorisés et les prises de contrôle silencieuses bien plus difficiles à réaliser sans laisser de trace évidente. Cela n'empêche pas, en soi, un registre d'être victime d'hameçonnage. Mais la leçon plus large que Sea Turtle souligne est celle autour de laquelle Namefi est construit : les domaines sont une infrastructure critique, et la question de qui possède vraiment ce nom mérite une réponse plus solide que « quiconque peut se connecter au panneau de contrôle ».
La campagne a redirigé des gouvernements en exploitant l'écart entre détenir un domaine et prouver qu'on le détient. Combler cet écart — rendre la propriété vérifiable, les transferts auditables et la continuité du contrôle démontrable — est exactement le type de résilience dont la couche de nommage a encore besoin.
Sources et lectures complémentaires
- Cisco Talos — DNS Hijacking Abuses Trust In Core Internet Service
- Cisco Talos — Sea Turtle keeps on swimming, finds new victims, DNS hijacking techniques
- TechCrunch — A new state-backed hacker group is hijacking government domains at a phenomenal pace
- Krebs on Security — A Deep Dive on the Recent Widespread DNS Hijacking Attacks
- BleepingComputer — 'Sea Turtle' Campaign Focuses on DNS Hijacking to Compromise Targets
- SecurityWeek — Sea Turtle's DNS Hijacking Continues Despite Exposure
- BankInfoSecurity — 'Sea Turtle' DNS Hijacking Group Conducts Espionage: Report
- CISA — Emergency Directive 19-01: Mitigate DNS Infrastructure Tampering
- SDxCentral — Cisco Talos Says a Nation State Is Behind Sea Turtle DNS Hijacking Attacks
- SecurityWeek — State-Sponsored Hackers Use Sophisticated DNS Hijacking in Ongoing Attacks
À propos de l’auteur·rice
Guides connexes
- La Minute à 12 Dollars : Quand Quelqu'un a Discrètement Acheté Google.comEn septembre 2015, un ancien employé de Google a acheté google.com via Google Domains pour 12 dollars et a détenu le contrôle administratif du domaine le plus précieux au monde pendant environ une minute. L'histoire de Sanmay Ved, la prime de 6 006,13 dollars, et ce qu'une minute de propriété révèle sur celui qui contrôle vraiment un domaine.
- Domain Mayday EP03 : La prise de contrôle de comptes Twitter Bitcoin en 2020Le 15 juillet 2020, des attaquants ont infiltré Twitter par téléphone, détourné les comptes vérifiés d'Obama, Biden, Musk, Gates, Apple et Uber, et lancé une arnaque de doublement de Bitcoin — récoltant environ 118 000 dollars. Une analyse approfondie de la façon dont le contrôle d'une identité en ligne a été volé, et ce qu'elle enseigne sur la possession d'un nom.
- Domain Mayday EP05 : Le détournement massif de domaines DeFi sur Squarespace en 2024En juillet 2024, une migration de registrar de Google Domains vers Squarespace a transformé une authentification par défaut trop faible en une surface d'attaque massive. Des attaquants ont détourné les domaines de projets crypto et DeFi — Compound Finance, Celer Network, Pendle, Unstoppable Domains — et les ont redirigés vers des sites de phishing vidant les portefeuilles. Voici comment une migration « transparente » a créé des centaines de portes d'entrée non verrouillées, et ce qu'elle enseigne sur la sécurité des registrars et l'authentification multifacteur.
- L'attaque front-end de BadgerDAO : 120 millions de dollars siphonnés par un seul script injectéEn décembre 2021, des attaquants ont compromis le compte Cloudflare de BadgerDAO et injecté un seul script malveillant dans le front-end de son site web. Les contrats intelligents audités n'ont jamais été touchés — et pourtant, environ 120 millions de dollars sont partis via des approbations de portefeuilles signées à l'insu des utilisateurs. Une analyse approfondie expliquant pourquoi le site web fait partie de votre surface de sécurité.