Qu'est-ce que l'empoisonnement DNS ? (alias DNS Spoofing)

DNS L'empoisonnement est un type d'attaque par usurpation d'identité dans laquelle les pirates se font passer pour un autre appareil, un autre client ou un autre utilisateur. Ce déguisement facilite alors l'interception d'informations protégées ou l'interruption du flux normal du trafic web.

Dans une attaque par empoisonnement du cache DNS , les pirates modifient un système de noms de domaine (DNS) en un DNS "usurpé", de sorte que lorsqu'un utilisateur légitime visite un site web, au lieu d'arriver à la destination prévue, il se retrouve en fait sur un site entièrement différent. En général, cela se produit à l'insu des utilisateurs, car les faux sites sont souvent conçus pour ressembler aux vrais.

C'est comme si vous disiez à quelqu'un que vous habitez à une certaine adresse, puis que vous alliez dans ce quartier et que vous changiez tous les noms de rue et les numéros de maison, de sorte que la personne se retrouve à la mauvaise adresse ou dans une maison complètement différente.

Une fois l'attaque lancée, en détournant le trafic vers le serveur illégitime, les pirates peuvent alors accomplir des activités malveillantes telles qu'une attaque de l'homme du milieu (par exemple, voler des informations de connexion sécurisées pour les sites web des banques), installer un virus sur les ordinateurs des visiteurs pour causer des dommages immédiats, ou même installer un ver pour propager les dommages à d'autres appareils.

Pour bien comprendre le fonctionnement de l'empoisonnement par DNS , il faut savoir comment l'internet oriente les utilisateurs vers différents sites web.

Chaque appareil et chaque serveur possède une adresse IP (Internet Protocol) unique, qui est une série de nombres utilisés comme identifiants dans les communications. Chaque site web possède un nom de domaine (par exemple www.keyfactor.com) qui s'ajoute à cette adresse pour permettre aux internautes de visiter facilement les sites web qu'ils souhaitent. Le système de noms de domaine ( DNS) associe ensuite le nom de domaine saisi par les utilisateurs à l'adresse IP appropriée afin d'acheminer correctement leur trafic, le tout étant géré par les serveurs DNS .

DNS L'empoisonnement profite des faiblesses de ce processus pour rediriger le trafic vers une adresse IP illégitime. Plus précisément, les pirates accèdent à un serveur DNS afin d'ajuster son répertoire et de faire pointer le nom de domaine saisi par les utilisateurs vers une adresse IP différente et incorrecte.

Lorsque quelqu'un accède à un serveur DNS et commence à rediriger le trafic, il se livre à l'usurpation d'identité DNS . L'empoisonnement du cache DNS va encore plus loin. Lorsque l'empoisonnement du cache DNS se produit, l'appareil de l'utilisateur place l'adresse IP illégitime dans son cache (c'est-à-dire sa mémoire). Cela signifie que l'appareil dirige automatiquement l'utilisateur vers l'adresse IP illégitime, même une fois le problème résolu.

La plus grande faiblesse qui permet à ce type d'attaque de se produire est le fait que l'ensemble du système d'acheminement du trafic web a été conçu davantage en fonction de l'échelle que de la sécurité. Le processus actuel repose sur ce que l'on appelle le protocole UDP (User Datagram Protocol), un processus qui n'exige pas des expéditeurs ou des destinataires qu'ils vérifient qu'ils sont prêts à communiquer ou qu'ils vérifient leur identité. Cette vulnérabilité permet aux pirates de falsifier des informations d'identité (qui ne nécessitent aucune vérification supplémentaire) et d'intervenir dans le processus pour commencer à rediriger les serveurs DNS .

Bien qu'il s'agisse d'une vulnérabilité énorme, elle n'est pas aussi simple qu'il n'y paraît. Pour y parvenir efficacement, un pirate doit répondre à une requête quelques millisecondes avant que la source légitime n'intervienne et inclure dans sa réponse des informations détaillées telles que le port utilisé par le résolveur DNS et le numéro d'identification de la requête.

DNS L'empoisonnement présente plusieurs risques pour les individus et les organisations. L'un des plus grands risques associés à l'empoisonnement DNS est qu'une fois qu'un appareil en a été victime, en particulier l'empoisonnement du cache DNS , il peut devenir très difficile de résoudre le problème car l'appareil retournera par défaut sur le site illégitime.

En outre, l'empoisonnement par DNS peut être extrêmement difficile à détecter pour les utilisateurs, en particulier dans les cas où les pirates font en sorte que le faux site web vers lequel ils dirigent le trafic semble presque identique au vrai site. Dans ce cas, les utilisateurs ne se doutent probablement pas que le site web est en fait un faux et saisissent des informations sensibles comme d'habitude sans se rendre compte qu'ils s'exposent et/ou exposent leur organisation à un risque sérieux.

Dans l'ensemble, les plus grands dangers de ce type d'attaque sont les suivants :

Lorsque les utilisateurs sont dirigés vers des sites web frauduleux, les pirates peuvent y accéder pour installer une série de virus et de logiciels malveillants sur leurs appareils. Cela peut aller d'un virus destiné à infecter leur appareil (ainsi que les autres appareils qu'ils contactent) à des logiciels malveillants qui donnent aux pirates un accès permanent à l'appareil et aux informations qu'il contient.

DNS L'empoisonnement offre aux pirates un moyen facile de voler des informations, telles que les identifiants de connexion à des sites sécurisés (des banques aux systèmes organisationnels qui hébergent des informations propriétaires), des informations personnelles identifiables telles que les numéros de sécurité sociale et d'autres détails sensibles tels que les informations de paiement.

Les acteurs malveillants peuvent utiliser DNS poisoning pour causer de graves dommages à long terme en redirigeant le trafic des fournisseurs de sécurité afin d'empêcher les appareils de recevoir des correctifs et des mises à jour importants qui renforcent la sécurité. Cette approche peut rendre les appareils plus vulnérables au fil du temps, ouvrant la porte à de nombreux autres types d'attaques comme les chevaux de Troie et les virus.

Par le passé, des gouvernements sont intervenus dans le trafic web de leur pays par le biais de DNS afin de censurer certaines informations. Cette intervention a permis à ces gouvernements de bloquer le trafic des citoyens vers des sites web contenant des informations qu'ils ne veulent pas qu'ils voient.

Plusieurs attaques d'empoisonnement par DNS ont eu lieu ces dernières années et ont mis en évidence les dangers de ce type d'attaque.

En 2018, un groupe de voleurs a réussi à lancer une attaque par empoisonnement DNS sur AWS pour rediriger le trafic de plusieurs domaines hébergés sur ce système. L'une des plus notables de ces attaques était centrée sur le site web de crypto-monnaies MyEtherWallet.

Plus précisément, les voleurs redirigeaient le trafic des personnes qui tentaient de se connecter à leur compte MyEtherWallet vers un faux site web afin de saisir leurs identifiants de connexion. De là, le groupe a utilisé ces informations pour accéder aux comptes réels de ces utilisateurs et drainer leurs fonds. Au total, le groupe a volé pour environ 17 millions de dollars de crypto-monnaie Ethereum au cours de cette attaque d'empoisonnement DNS .

En 2015, un groupe de pirates informatiques connu sous le nom de Lizard Squad a lancé une attaque par empoisonnement sur DNS à l'encontre de Malaysia Airlines. Ils ont redirigé les visiteurs du site vers un faux site web qui les encourageait à se connecter pour être accueillis par un message 404 et l'image d'un lézard.

Tout d'abord, cette attaque a causé d'importants dégâts à la compagnie aérienne, qui sortait déjà d'une année difficile au cours de laquelle deux vols avaient été perdus. Deuxièmement, elle a soulevé de sérieuses questions quant à savoir si le groupe de pirates informatiques a volé des informations personnelles sur les utilisateurs qui ont participé à l'attaque et se sont connectés au faux site web.

En 2010, des internautes du Chili et des États-Unis ont vu leur trafic vers des sites tels que Facebook, Twitter et YouTube redirigé parce qu'il passait sous le contrôle de serveurs situés en Chine.

La Chine avait délibérément manipulé ses propres serveurs par le biais de DNS poisoning comme forme de censure. Dans ce cas, les utilisateurs en dehors de la Chine ont été dirigés vers les serveurs du pays et ont été victimes de cette censure, perdant l'accès aux sites web que la Chine avait empêché ses citoyens de visiter.

DNS Les attaques par empoisonnement sont si dangereuses qu'elles peuvent être difficiles à détecter et à corriger une fois qu'elles se produisent (en particulier dans le cas de l'empoisonnement du cache de DNS ). Cela dit, il existe plusieurs mesures que vous pouvez prendre pour mieux protéger votre organisation contre les risques posés par les attaques d'empoisonnement de DNS . Voici quelques-unes des meilleures façons de protéger votre organisation :

L'introduction de DNSSEC est l'une des mesures les plus précieuses que vous puissiez prendre pour vous protéger contre les attaques de DNS poisoning. Tout simplement, DNSSEC prend la mesure supplémentaire de vérifier les données DNS - ce qui n'est pas standard dans les protocoles internet actuels.

DNNSEC s'appuie sur la cryptographie à clé publique pour rendre cette vérification possible. Plus précisément, il utilise l'authentification par certificat pour vérifier le domaine racine de tout DNS répondant à une demande et s'assurer qu'il est autorisé à le faire. Il évalue également si le contenu de la réponse est fiable ou non et si ce contenu a été modifié en cours de route.

Une autre mesure importante que vous pouvez prendre consiste à toujours crypter les données incluses dans les demandes et les réponses sur DNS . Cela offre une protection supplémentaire en empêchant les pirates informatiques qui pourraient intercepter ces données d'en faire quelque chose.

Par exemple, même si un pirate informatique parvient à intercepter ces données, si elles sont cryptées, il ne pourra pas les lire pour obtenir les informations dont il a besoin pour les dupliquer afin de les utiliser dans des réponses à des demandes ultérieures sur DNS .

Votre organisation peut également prendre des mesures pour configurer votre DNS de certaines manières qui fournissent une couche de protection supplémentaire. Tout d'abord, vous pouvez configurer vos serveurs DNS de manière à ce qu'ils ne dépendent pas fortement des relations avec d'autres serveurs DNS . De cette manière, il est beaucoup plus difficile pour les pirates d'établir une connexion via leur propre serveur DNS , puisque l'établissement de cette relation n'a plus de sens dans le cours normal des affaires.

Deuxièmement, vous pouvez configurer vos serveurs DNS de manière à ce qu'ils stockent des ensembles de données plus limités et qu'ils n'autorisent l'exécution que de certains services. Cette configuration évite d'ouvrir votre serveur à davantage de données, ce qui crée beaucoup plus de points de faiblesse potentiels que les pirates peuvent exploiter.

Comme c'est le cas pour la plupart des systèmes, votre DNS pourra bénéficier de mises à jour régulières. Il est extrêmement important de veiller à toujours exécuter ces mises à jour afin d'utiliser la version la plus récente de votre DNS , car ces mises à jour incluent souvent de nouveaux protocoles de sécurité et des correctifs pour les vulnérabilités identifiées. En outre, l'utilisation de la dernière version vous permettra de continuer à recevoir des mises à jour à l'avenir.

Bien que les tactiques de prévention soient certainement importantes, vous devez également disposer d'un bon plan en cas d'attaque par DNS poisoning. C'est là que des protocoles de détection solides deviennent très importants.

Les meilleurs protocoles de détection utilisent une surveillance régulière pour détecter certains signes avant-coureurs. Deux des principaux signes d'alerte sont (1) une augmentation de l'activité DNS provenant d'une seule source et concernant un seul domaine, ce qui peut indiquer une attaque de type "Birthday" et (2) une augmentation de l'activité DNS provenant d'une seule source et concernant plusieurs noms de domaine, ce qui peut indiquer des tentatives de trouver un point d'entrée pour l'empoisonnement par le biais de DNS .

Une autre tactique de détection importante consiste à former les utilisateurs finaux pour les aider à prendre conscience des risques potentiels. Si les attaques par empoisonnement DNS peuvent être très difficiles à repérer, même pour des utilisateurs bien formés, une formation solide peut certainement contribuer à endiguer la propagation de certaines attaques.

La formation devrait indiquer aux utilisateurs de vérifier que les sites web utilisent un certificat SSL/TLS valide, d'éviter de cliquer sur des liens qu'ils ne reconnaissent pas ou sur des liens provenant de sources qu'ils ne reconnaissent pas, de vider régulièrement leur cache DNS pour se protéger contre l'empoisonnement du cache DNS et d'exécuter le programme de sécurité software qui peut analyser leurs appareils à la recherche de signes de logiciels malveillants.