Une attaque par empoisonnement du cache DNS (également connue sous le nom de DNS spoofing) est une cybercriminalité qui exploite les vulnérabilités DNS de votre système de noms de domaine et de vos serveurs. Par le biais de ces attaques, les acteurs de la menace détournent le trafic et les informations vers un DNS contrôlé par l'attaquant ou un site web corrompu.

Qu'est-ce que le DNS Cache Poisoning ? 

L'empoisonnement du cache DNS est une attaque contre le système de noms de domaine (DNS), qui est un système utilisé pour traduire les noms de domaine en adresses IP. Elle est également connue sous le nom de DNS spoofing. Dans cette attaque, un pirate falsifie les informations que votre ordinateur reçoit lorsqu'il demande l'adresse IP d'un site Web. Votre ordinateur peut ainsi accéder à un mauvais site, voire être redirigé vers un site malveillant.

L'empoisonnement du cache DNS est considéré comme une forme d'attaque de type "man-in-the-middle" car il permet à l'attaquant d'intercepter la communication entre le navigateur et le site web. Une fois qu'il a pris le contrôle du serveur DNS, il peut alors rediriger tout votre trafic vers ses propres serveurs. Ainsi, même si vous tapez "facebook.com", il vous dirigera vers sa fausse version de Facebook !

Simplifiez la sécurité des attaques par empoisonnement du cache avec PowerDMARC !

Comment se produit le DNS Cache Poisoning ?

Le DNS : Un bref aperçu du système de noms de domaine

Pour mieux comprendre la dynamique des attaques par empoisonnement du cache, il faut avoir une bonne idée du fonctionnement du DNS. 

Le DNS, ou système de noms de domaine, peut être considéré comme l'annuaire de l'internet. Tout comme l'annuaire téléphonique, le DNS est un système de traduction en ligne qui aide à convertir les adresses IP complexes en noms de domaine faciles à retenir. 

Par exemple, nous pouvons facilement nous souvenir du nom de domaine facebook.com, et utiliser cette information pour naviguer sur Internet à volonté et rechercher le site Web permettant d'accéder à Facebook. Cependant, si nous devions nous souvenir d'adresses IP comme 69.200.187.91, ce serait un processus atroce. 

Ainsi, lorsque nous consultons un nom de domaine sur notre navigateur, le DNS résout le nom en son adresse IP correspondante et nous aide à localiser la ressource que nous recherchons. 

Comment fonctionne l'empoisonnement du cache DNS ?

Quelques informations utiles

Lorsqu'un internaute tente d'accéder à un domaine à partir d'un navigateur, le résolveur DNS fournit à l'utilisateur une adresse IP pour localiser le domaine de ressources. Plusieurs serveurs peuvent être impliqués dans ce processus. 

Ce processus est connu sous le nom de "recherche DNS" ou "requête DNS". 

Parfois, les résolveurs DNS stockent les demandes de requêtes DNS (mise en cache des données) afin d'accélérer le processus pour les demandes futures. Le temps pendant lequel ces données restent en cache dans la mémoire de stockage du DNS est appelé Time-to-live (TTL). 

L'anatomie d'une attaque par empoisonnement de cache

Lors d'une attaque par empoisonnement du cache du DNS, l'attaquant fournit des informations sur une adresse IP falsifiée dans le cache du DNS. Cette adresse IP appartient à un domaine corrompu contrôlé par l'attaquant. Lorsqu'un internaute essaie d'accéder à la ressource souhaitée, il est redirigé vers le domaine corrompu, ce qui peut entraîner l'installation de logiciels malveillants. 

N'oubliez pas que l'attaquant doit agir dans un délai très court. Il a juste assez de temps pour lancer l'attaque jusqu'à l'expiration du temps de vie des données mises en cache dans le DNS. Le DNS, ignorant ces données malveillantes qui ont été astucieusement logées dans son système de mise en cache, continue à fournir de fausses informations aux internautes pendant tout ce temps. 

Comment le DNS Cache Poisoning peut-il vous nuire ?

L'empoisonnement du cache est un exemple classique d'une attaque par usurpation d'identitéL'empoisonnement du cache est un exemple classique d'attaque par usurpation d'identité, où un attaquant se fait passer pour un domaine légitime, mais incite les utilisateurs à visiter un site Web frauduleux. Ce type d'attaque est particulièrement pernicieux car il n'existe aucun système de régulation au sein du DNS qui filtre les données incorrectes mises en cache.

Cette situation est préjudiciable pour les raisons suivantes : 

1. Impact sur la fidélisation des clients

Cette situation est préjudiciable au propriétaire du site, car il commence à perdre sa crédibilité. 

2. Installations de logiciels malveillants

Les internautes peuvent télécharger sur leur ordinateur des logiciels malveillants qui peuvent s'infiltrer dans leur système, ou dans tout un réseau organisationnel, et voler des données sensibles.

3. Vol de titres de compétences

Les internautes peuvent divulguer sur le site frauduleux d'autres informations sensibles telles que des mots de passe, des identifiants bancaires et d'entreprise et perdre leurs données et/ou leurs actifs monétaires.

Comment prévenir l'empoisonnement du cache ? 

1. Mettez à jour votre logiciel antivirus

Si vous avez accidentellement installé un logiciel malveillant sur votre appareil à partir d'un site malveillant, vous devez agir rapidement. Mettez à jour votre logiciel antivirus avec la dernière version et lancez une analyse complète de votre système d'exploitation pour détecter et supprimer le logiciel malveillant. 

2. Déployer les DNSSEC

DNSSEC est une extension de sécurité pour votre système de noms de domaine. Bien que le DNS ne soit pas intrinsèquement accompagné d'une politique de sécurité, le protocole DNSSEC peut aider à prévenir les attaques par empoisonnement du cache grâce à la cryptographie à clé publique. 

3. Adresser les enregistrements DNS mal configurés ou abandonnés

Enregistrements DNS mal configurés ou abandonnés, tels que entrées DNS peuvent créer des vulnérabilités susceptibles d'être exploitées par des attaquants. Ces problèmes peuvent entraîner des risques tels que la prise de contrôle de sous-domaines, ce qui aggrave les menaces posées par l'empoisonnement du cache.

4. Arrêter l'usurpation d'identité DNS avec MTA-STS

Les interceptions du serveur SMTP peuvent être évitées grâce au cryptage TLS de bout en bout de vos canaux de messagerie avec MTA-STS. Le Mail Transfer Agent Strict Transport Security est un protocole d'authentification qui oblige les serveurs à prendre en charge le cryptage TLS des messages électroniques pendant le transfert.

En plus de ces stratégies, vous pouvez également utiliser des outils de sécurité DNS pour sécuriser vos serveurs DNS et vos sites web. Ces outils redirigent le trafic web à travers des filtres qui identifient les signatures de logiciels malveillants et d'autres sites web et médias potentiellement malveillants.

Conclusion

Il est important de noter que, même s'il s'agit de mesures préventives, la sécurité commence à la maison. Une sensibilisation accrue aux vecteurs de menace et aux meilleures pratiques de sécurité peut vous aider à atténuer les attaques à long terme. Veillez à toujours définir des mots de passe plus forts, à ne jamais cliquer sur des liens et des pièces jointes suspects et à vider régulièrement votre cache DNS.

• À propos de
• Derniers messages

Ahona Rudra

Expert en sécurité des domaines et des courriels chez PowerDMARC

Ahona est la responsable du marketing chez PowerDMARC, avec plus de 5 ans d'expérience dans l'écriture sur des sujets de cybersécurité, spécialisée dans la sécurité des domaines et des courriels. Ahona est titulaire d'un diplôme de troisième cycle en journalisme et communication, solidifiant sa carrière dans le secteur de la sécurité depuis 2019.

Derniers messages de Ahona Rudra (voir tous)

• Faux positifs DMARC : Causes, corrections et guide de prévention - 13 juin 2025
• Le gouvernement néo-zélandais impose le DMARC dans le cadre du nouveau Secure Email Framework - 9 juin 2025
• Qu'est-ce que l'usurpation d'adresse électronique ? - 29 mai 2025