Le ministère américain de la Sécurité intérieure (DHS) publie des ordres pour barricader les comptes, après une « campagne d’altération » posant « un risque important et immédiat pour les informations et systèmes d’information des agences ».

Le ministère détaille un plan en quatre étapes pour enquêter sur des piratages et protéger les comptes : auditer les enregistrements DNS pour vérifier leur validité, changer le mot de passe du compte gérant les noms de domaine, ajouter une authentification à plusieurs facteurs et surveiller les journaux de transparence des certificats (Certificate Transparency).

Le ministère dit avoir repéré des manipulations concrètes de sites officiels. Leur description correspond mot pour mot à celle d’attaques révélées par la société de sécurité FireEye, où des pirates collectent des données de dizaines de sites d’administrations et entreprises en redirigeant les noms de domaine (ou un sous domaine) vers un proxy. Le principe est de s’immiscer entre l’utilisateur et le site original, en voyant tout le trafic en clair.

La note arrive aussi alors que des dizaines de certificats TLS de sites ont expiré ces dernières semaines, faute d’être renouvelés par des employés aujourd’hui absents à cause du « shutdown », la mise en veille des services publics par l'administration Trump. Certains de ces sites sont devenus inaccessibles, des mesures de sécurité empêchant la connexion sans certificat valide.