Qu'est-ce que l'usurpation d'identité DNS ?

Qu'est-ce que le DNS spoofing ? L'usurpation de DNS est une tactique d'attaque couramment utilisée pour escroquer les entreprises. Le DNS n'a jamais été sûr en soi. Parce qu'il a été conçu dans les années 1980, la sécurité n'était pas une question prioritaire lorsque l'Internet était encore une curiosité. Cela a encouragé les acteurs malveillants à exploiter le problème au fil du temps et à développer des attaques sophistiquées basées sur le DNS, telles que l'usurpation de DNS.

Définition du DNS Spoofing

L'usurpation de nom de domaine (DNS spoofing) est une technique utilisée pour détourner la requête d'un navigateur web pour un site web et diriger l'utilisateur vers un autre site web. Cela peut se faire soit en changeant l'adresse IP des serveurs DNS, soit en changeant l'adresse IP du serveur de nom de domaine lui-même.

L'usurpation de DNS est souvent utilisée dans le cadre de programmes d'hameçonnage, où les utilisateurs sont amenés à visiter de faux sites Web qui ressemblent à des sites authentiques. Ces faux sites Web peuvent demander des informations personnelles telles que des numéros de carte de crédit ou de sécurité sociale, que les criminels peuvent utiliser pour le vol d'identité.

Qu'est-ce qu'une attaque par mystification du DNS ?

On parle d'attaque par usurpation d'identité DNS lorsque l'attaquant se fait passer pour un serveur DNS et envoie des réponses aux requêtes DNS qui sont différentes de celles envoyées par le serveur légitime.

L'attaquant peut envoyer la réponse qu'il souhaite à la requête de la victime, y compris de fausses adresses IP pour les hôtes ou d'autres types de fausses informations. Cela peut être utilisé pour diriger un utilisateur vers un site web conçu pour ressembler à un autre site web ou pour donner de fausses informations sur les services du réseau.

En un mot, un attaquant peut inciter un utilisateur à visiter un site web dangereux à son insu. L'usurpation de DNS désigne toute tentative visant à modifier les enregistrements DNS renvoyés à un utilisateur et à le rediriger vers un site web malveillant.

Il peut être utilisé à diverses fins malveillantes, notamment :

  • Distribution de logiciels malveillants, de rançongiciels et d'escroqueries par hameçonnage.
  • Récolte d'informations sur les utilisateurs
  • Faciliter d'autres types de cybercriminalité.

Comment fonctionne le DNS Spoofing ?

Le serveur DNS convertit les noms de domaine en adresses IP afin que les gens puissent se connecter aux sites web. Si un pirate veut envoyer des utilisateurs vers des sites malveillants, il devra d'abord modifier les paramètres DNS. Pour ce faire, il peut exploiter les faiblesses du système ou lancer des attaques par force brute en essayant des milliers de combinaisons différentes jusqu'à ce qu'il en trouve une qui fonctionne.

Étape 1 - Reconnaissance

La première étape d'une attaque réussie est la reconnaissance, c'est-à-dire la recherche d'un maximum d'informations sur votre cible. Un pirate étudiera votre modèle d'entreprise, la structure de votre réseau d'employés et vos politiques de sécurité pour savoir quel type d'informations il doit demander et comment il peut les obtenir.

Étape 2 - Accès

Une fois qu'ils ont recueilli suffisamment d'informations sur leur cible, ils tentent d'accéder au système en exploitant les vulnérabilités ou en utilisant des méthodes de force brute. Une fois qu'ils ont accès, ils peuvent installer un logiciel malveillant sur le système pour leur permettre de surveiller le trafic et d'extraire des données sensibles. L'attaquant peut envoyer des paquets prétendant provenir d'ordinateurs légitimes, ce qui leur donnera l'impression de provenir d'un autre endroit.

Étape 3 - Attaque

Lorsque le serveur de noms reçoit ces paquets, il les stocke dans son cache et les utilise la prochaine fois que quelqu'un lui demande ces informations. Lorsque les utilisateurs autorisés essaient d'accéder à un site Web autorisé, ils sont redirigés vers un site non autorisé.

Méthodes d'usurpation du DNS

Il existe plusieurs façons pour un pirate de s'y prendre, mais elles reposent toutes sur l'utilisation d'un serveur DNS alternatif par l'ordinateur de l'utilisateur. Cela permet à l'attaquant de détourner les requêtes et de les envoyer vers le site Web de son choix.

1. Attaques de type "Man-in-the-Middle

L'attaque par usurpation de DNS la plus courante est appelée attaque de type "man-in-the-middle" (MITM). Dans ce type d'attaque, l'attaquant intercepte une communication par courrier électronique entre deux serveurs SMTP pour lire tout votre trafic Internet. L'attaquant intercepte ensuite votre demande de résolution de nom de domaine et l'envoie via son réseau au lieu du réseau réel. Il peut répondre avec l'adresse IP de son choix, même celle d'un site de phishing.

2. Empoisonnement du cache du DNS

L'attaquant utilise un botnet ou un dispositif compromis sur son réseau pour envoyer de fausses réponses aux requêtes DNS, empoisonnant le cache local avec des informations incorrectes. Cela peut être utilisé pour détourner des systèmes de noms de domaine (DNS) et des attaques de type "man-in-the-middle".

3. Détournement de DNS

L'attaquant modifie son adresse IP pour faire croire qu'il est le serveur de noms faisant autorité pour un nom de domaine. Il peut ensuite envoyer de fausses réponses DNS à un client demandant des informations sur ce domaine, en le dirigeant vers une IP contrôlée par l'attaquant au lieu d'utiliser correctement les serveurs DNS publics. Cette attaque est la plus courante contre les clients qui n'ont pas mis en place de mesures de sécurité sur leurs routeurs ou leurs pare-feu.

Comment prévenir l'usurpation d'identité DNS ?

Mettre en œuvre des mécanismes de détection de l'usurpation d'identité par le DNS

Le DNSSEC est l'une des solutions proposées pour résoudre ce problème. DNSSEC est une extension du DNS qui assure l'authentification et l'intégrité des enregistrements et fournit des données non officielles à partir des serveurs DNS. Elle garantit que les réponses ne sont pas altérées pendant la transmission. Elle assure également la confidentialité du trafic de données entre les clients et les serveurs, de sorte que seules les personnes disposant d'informations d'identification valides peuvent les décrypter.

Effectuer un filtrage minutieux du trafic DNS

Le filtrage du trafic DNS consiste à inspecter tout le trafic entrant et sortant de votre réseau. Cela vous permet d'empêcher toute activité suspecte de se produire sur votre réseau. Pour ce faire, vous pouvez utiliser un pare-feu ou un autre logiciel de sécurité offrant cette fonctionnalité.

Appliquer régulièrement les correctifs aux serveurs DNS

Appliquez régulièrement les mises à jour de sécurité aux systèmes d'exploitation, aux applications et aux bases de données.

Utiliser un réseau privé virtuel (VPN)

Si vous n'avez pas accès à une connexion HTTPS, utilisez un VPN. Un VPN crée un tunnel crypté entre votre ordinateur et le site web ou le service auquel vous accédez. Il crypte le trafic dans les deux sens, ce qui empêche les fournisseurs d'accès de voir les sites Web que vous visitez et les données que vous envoyez ou recevez.

Utiliser des pare-feu

Installez un pare-feu sur chaque système qui se connecte à l'Internet. Un pare-feu bloquera toutes les connexions entrantes qui n'ont pas été explicitement autorisées par l'administrateur réseau.

Utilisez les protocoles d'authentification des e-mails

Vous pouvez utiliser MTA-STS pour limiter l'usurpation de DNS. Les entrées enregistrées dans le fichier de stratégie MTA-STS, téléchargé via HTTPS, sont comparées aux enregistrements MX de votre MTA interrogés via le DNS. Les MTA mettent également en cache les fichiers de stratégie MTA-STS, ce qui rend plus difficile l'exécution d'une attaque par usurpation du DNS.

Vous pouvez surveiller et résoudre les problèmes de délivrabilité en activant TLS-RPT, ce qui permet aux destinataires d'envoyer des rapports TLS par SMTP à votre adresse électronique. Cela vous aidera à rester au courant des problèmes liés à une connexion non cryptée. 

Activer la journalisation et la surveillance des requêtes DNS

Activez la journalisation et la surveillance des requêtes DNS afin de pouvoir suivre toute modification non autorisée apportée à vos serveurs DNS.

Le mot de la fin

L'usurpation de DNS peut être extrêmement gênante pour les visiteurs et les propriétaires de sites web. La principale motivation d'un attaquant pour mener une attaque par usurpation de DNS est le gain personnel ou la transmission de logiciels malveillants. Par conséquent, en tant que propriétaire de site Web, il est essentiel de choisir un service d'hébergement DNS fiable qui utilise les mesures de sécurité actuelles.

En outre, en tant que visiteur d'un site web, vous devez "être conscient de ce qui vous entoure" car si vous remarquez des différences entre le site web que vous vous attendiez à visiter et celui que vous êtes en train de parcourir, vous devez immédiatement quitter ce site et essayer d'alerter le propriétaire légitime du site.