L’usurpation de DNS, une tactique malveillante, consiste à manipuler la résolution DNS pour rediriger les utilisateurs vers des sites web frauduleux. En modifiant les enregistrements DNS, les attaquants incitent les utilisateurs à visiter des sites malveillants, au risque de compromettre les données. Pour détecter cette menace, il faut être attentif aux redirections inattendues ou aux avertissements du navigateur. Mettez en œuvre des protocoles DNS sécurisés et des mises à jour logicielles pour limiter les risques et garantir une navigation sûre.

Le système de noms de domaine (DNS)

Une telle adresse IP est attribuée à chaque domaine valide. Par exemple, avant qu’un ordinateur portable ou un smartphone puisse contacter le domaine metacompliance.com.com, ce domaine doit être traduit en adresse IP correspondante. Cependant, aucun ordinateur ne dispose d’une liste de tous les domaines et de leurs adresses IP correspondantes. Dès lors, comment notre ordinateur portable ou notre smartphone peut-il savoir quelle adresse IP se trouve derrière le domaine metacompliance.com.com? C’est là que le système de noms de domaine (ou DNS) entre en jeu. Le système de noms de domaine est le service réseau par lequel chaque ordinateur peut demander l’adresse IP attribuée à un domaine valide.

Pour un domaine qu’un ordinateur visite fréquemment ou qu’il a visité récemment, il connaît déjà l’adresse IP. Si ce n’est pas le cas, il demande l’adresse IP au serveur DNS suivant. Dans le cas d’une connexion fixe à l’internet, il s’agit généralement du routeur du réseau local, qui régule le trafic de données entre les ordinateurs enregistrés dans le réseau local sans fil (WLAN) ou le réseau local (LAN) et l’internet. Si le routeur du réseau local ne connaît pas non plus l’adresse IP d’un certain domaine, il demande à nouveau cette information au serveur DNS le plus proche. Normalement, il s’agit d’un serveur DNS exploité par le fournisseur d’accès à l’internet responsable de la connexion internet locale. La plupart des fournisseurs d’accès ont plusieurs serveurs DNS en service à cette fin. Si les serveurs DNS du fournisseur d’accès ne connaissent pas non plus l’adresse IP d’un domaine particulier, ils contactent à nouveau le serveur DNS le plus proche. Il existe une hiérarchie stricte de ces serveurs DNS sur l’internet. Pour chaque domaine, on détermine précisément quel serveur DNS a le dernier mot, pour ainsi dire, pour ce domaine. Cela permet notamment d’éviter que les serveurs DNS sur l’internet ne se demandent sans cesse l’adresse IP correspondant à un domaine librement inventé.

Espionnage DNS

La tâche principale d’un serveur DNS est de répondre aux requêtes des ordinateurs qui souhaitent connaître l’adresse IP associée à un domaine particulier. Si nous parvenons à faire en sorte qu’un serveur DNS réponde à une telle requête non pas avec l’adresse IP réelle, mais avec une autre adresse IP que nous avons donnée, nous nous livrons à du DNS spoofing. De cette manière, l’échange de données entre le terminal d’un utilisateur et un serveur sur l’internet peut être redirigé vers un autre serveur.

Une cible facile pour l’usurpation de DNS est le routeur du réseau local du réseau domestique ou du réseau de l’entreprise car, dans la plupart des cas, il s’agit du premier serveur DNS que les ordinateurs du réseau local contactent. Supposons que nous ayons un accès administratif au routeur du réseau. Dans ce cas, il est facile d’y créer des entrées DNS supplémentaires et de rediriger le trafic de données de certains domaines vers d’autres serveurs. Si aucune mesure de sécurité supplémentaire n’était mise en place, il serait facile, par exemple, de faire croire aux utilisateurs du réseau local qu’ils visitent un certain site web, alors qu’ils visitent en fait une copie manipulée de ce site web.

En revanche, la manipulation des serveurs DNS d’un fournisseur d’accès à l’internet ou d’une infrastructure internet plus profonde nécessite des connaissances approfondies en matière de réseaux informatiques et de protocoles de réseau. Il existe un certain nombre de scénarios d’attaque connus contre le DNS. Nombre d’entre eux n’ont qu’une pertinence historique car le DNS est continuellement développé et renforcé contre de telles attaques. Par exemple, avec DNSSEC, il existe une série d’extensions pour le système de noms de domaine qui permettent d’authentifier cryptographiquement les réponses d’un serveur DNS. Malheureusement, l’utilisation de DNSSEC n’est pas encore très répandue.

Détection de l’usurpation d’identité DNS

Pour les administrateurs de réseaux et autres utilisateurs ayant une affinité avec la technologie, il existe un logiciel qui peut être utilisé pour effectuer un audit DNS approprié. Toutes les distributions Linux courantes contiennent la boîte à outils DNSDiag, disponible gratuitement, qui peut être utilisée pour analyser les réponses DNS, par exemple pour déterminer si une requête DNS fait l’objet d’une attaque de type « man-in-the-middle ». Dans le cadre d’une utilisation normale et quotidienne de l’internet et du World Wide Web, il est actuellement très difficile de déterminer si une fausse adresse IP nous est imposée par l’usurpation de DNS. Le fait que notre appareil final se fie aveuglément aux réponses du serveur DNS, pour ainsi dire, est dans la nature des choses sans authentification cryptographique des réponses DNS.

Heureusement, le transfert de données sur l’internet est aujourd’hui, dans la plupart des cas, sécurisé par un protocole cryptographique appelé TLS (Transport Layer Security). Sur le World Wide Web, on reconnaît l’utilisation de TLS au fait que l’adresse dans la barre URL ne commence pas par http://, mais par https://. Les navigateurs modernes affichent également un petit cadenas devant l’adresse pour indiquer que la connexion est sécurisée par TLS. Si la connexion au serveur est sécurisée par TLS, l’usurpation de DNS peut toujours entraîner la redirection des demandes vers un mauvais serveur, mais grâce à TLS, notre appareil final reconnaît qu’il ne s’agit pas du bon serveur et interrompt la communication.

Lorsque vous surfez quotidiennement, cherchez le petit cadenas dans la barre d’URL et assurez-vous que https:// précède toute adresse web. Le protocole TLS vous protégera également des conséquences d’une attaque par usurpation de nom (DNS spoofing).

Améliorez votre sensibilisation à la cybersécurité avec la formation MetaCompliance

L’usurpation de nom de domaine (DNS spoofing) est une menace informatique sérieuse qui peut compromettre l’intégrité et la sécurité de votre réseau. En comprenant ses mécanismes et en reconnaissant ses signes, tels que des redirections de sites web inattendues ou des avertissements de navigateur, vous pouvez prendre des mesures proactives pour vous protéger et protéger votre organisation. Pour renforcer votre sensibilisation et vos défenses en matière de cybersécurité, envisagez d’explorer les programmes de formation complets de MetaCompliance, conçus pour donner aux employés et aux cadres les connaissances et les compétences nécessaires pour identifier et atténuer efficacement les divers risques cybernétiques. Restez informé, restez vigilant et restez en sécurité avec MetaCompliance.