Qu'est-ce que le détournement de domaine ?

Lorsqu'un acteur malveillant détourne un domaine, son propriétaire n'a plus de contrôle sur le contenu des sites, le courrier électronique, ni tous les autres services pour applications basés sur le nom de domaine.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le détournement de domaine
  • Expliquer comment se produit le détournement de domaine
  • Faire la différence entre le détournement de domaine, le détournement DNS et l'usurpation de domaine
  • Comprendre les moyens de se protéger contre le détournement de noms de domaine

Copier le lien de l'article

Qu'est-ce que le détournement de domaine ?

Il y a détournement de domaine lorsqu'un acteur malveillant prend le contrôle d'un nom de domaine, généralement par le biais de l'ingénierie sociale. Le nom de domaine constitue l'adresse unique, facile à retenir et utilisée pour connecter les utilisateurs aux sites web. C'est sur lui que repose l'identité publique d'une entreprise sur Internet.

Lorsqu'un acteur malveillant parvient à détourner un domaine, le détenteur légitime perd le contrôle de l'ensemble des nombreux services associés à ce domaine. Cela comprend le contenu du site web, la messagerie d'entreprise, les centres d'appel VoIP, les services de stockage cloud et d'autres applications associées au domaine. Le détournement de noms de domaine est donc l'une des plus grandes menaces en ligne pour la marque, les revenus et la réputation de l'entreprise.

Comment fonctionnent les domaines ?

Les noms de domaine facilitent l'accès aux sites web sans qu'il soit nécessaire de mémoriser des adresses IP alphanumériques. Les noms de domaine sont mis en correspondance avec les adresses IP grâce au système de noms de domaine (DNS), qui fait office de répertoire téléphonique d'Internet.

Les domaines sont établis par le biais de serveurs d'inscription de noms de domaine. Lorsqu'il s'agit d'obtenir un domaine, deux acteurs essentiels entrent en jeu : les serveurs d'inscription et les registres. Considérez les registres (tels que VeriSign) comme des grossistes et les serveurs d'inscription comme des détaillants. Les registres possèdent la base de données de tous les domaines enregistrés au sein d'un TLD. Ils délèguent la réservation des noms de domaine disponibles aux serveurs d'inscription. À leur tour, les serveurs d'inscription, qui se comptent par milliers, « vendent » (en réalité ils les louent) les noms de domaine aux utilisateurs finaux pendant un certain temps.

Les noms de domaine sont formés de deux ou trois éléments, chacun séparé par un point. Lus de droite à gauche, les identifiants des noms de domaine vont du plus général au plus spécifique :

  • La section à droite du dernier point d'un nom de domaine est le domaine de premier niveau (TLD). « .com », « .net », « .co », « .uk » et « .in » sont des exemples courants de TLD.
  • À gauche du TLD se trouve le domaine de deuxième niveau (2LD). Si quelque chose se trouve à gauche du 2LD, il s'agit du domaine de troisième niveau (3LD).
Exemples de TLD, 2LD et 3LD dans un nom de domaine

Pour empêcher les modifications non autorisées de noms de domaine, les propriétaires de domaines peuvent appliquer des verrouillages «client» (verrouillages de serveur d'inscription) par l'intermédiaire du serveur d'inscription. Les registres appliquent des verrouillages « serveur », également appelés verrouillages de registre. Toutefois, si un acteur malveillant obtient un véritable accès au compte, il peut supprimer les verrouillages de domaine et effectuer des modifications non autorisées au sein du serveur d'inscription.

Comment le détournement de domaine se produit-il ?

Il existe de nombreuses façons de détourner un domaine. Par exemple :

  • Logiques d'ingénierie sociale et de phishing : de manière générale, l'ingénierie sociale désigne n'importe quelle attaque visant à manipuler des individus dans le but qu'ils révèlent des informations sensibles. Par exemple, un acteur malveillant envoie à la victime visée un e-mail de phishing en apparence légitime, semblant provenir du serveur d'inscription. Le destinataire clique sur l'un des liens de l'e-mail, pensant qu'il le conduira sur le site web du serveur d'inscription, mais il le dirige en fait vers un domaine usurpé conçu pour voler ses identifiants de connexion au serveur d'inscription.
  • Exploitation de domaines dormants ou qui arrivent à expiration : la plupart des noms de domaine ne peuvent être enregistrés que pour une durée maximale de 10 ans. Il incombe au serveur d'inscription d'alerter ses clients lorsque leurs domaines sont sur le point d'expirer. Toutefois, si l'utilisateur final ne parvient pas à renouveler correctement son domaine (ou à s'en défaire correctement), un acteur malveillant peut l'acheter et l'exploiter.
  • Violations du serveur d'inscription : les attaquants peuvent également exploiter les vulnérabilités du serveur d'inscription. Par exemple, lorsque Squarespace était en train de faire migrer environ 10 millions de noms de domaine depuis Google Domains, les attaquants ont exploité une faille qui leur a permis de prendre le contrôle des comptes et de modifier les enregistrements DNS (en particulier ceux de certaines entreprises de cryptographie et de blockchain). Ensuite, les attaquants ont redirigé les visiteurs vers des sites de phishing dans une tentative de voler des jetons et d'autres monnaies numériques.
  • Compromissions de clés API : les clés API et autres jetons d'authentification sont conçus pour permettre aux applications d'accéder à des comptes en ligne, tels que certains services de domaine, via une API. Si ces clés sont exposées ou accidentellement divulguées, elles peuvent donner accès au compte d'enregistrement d'une entreprise.

Quelles sont les répercussions d'un détournement de domaine ?

Une fois qu'un domaine a été compromis, les attaquants peuvent perturber une myriade d'opérations sur le web. Ils peuvent, par exemple :

  • Modifier le contenu du site original
  • Rediriger les visiteurs vers un autre site malveillant
  • Détourner des paiements en ligne vers des comptes contrôlés par des acteurs malveillants
  • Envoyer des courriers indésirables et des e-mails de phishing à partir du serveur de messagerie du domaine
  • Consulter les e-mails sensibles envoyés dans les boîtes de réception de l'entreprise
  • Modifier les appels d'API afin de perturber les applications mobiles et les autres services numériques d'une entreprise

Il est relativement simple de transférer des domaines entre serveurs d'inscription, mais il est très difficile de récupérer un domaine volé. L'opération peut demander des semaines, voire des mois. Parfois cela ne peut se faire qu'au prix d'une action en justice. Une partie de ce qui rend la tâche si difficile tient au fait que la documentation nécessaire se trouve souvent dans des systèmes (tels que les e-mails d'entreprise) auxquels le propriétaire initial du domaine ne peut plus accéder. Il arrive que le domaine soit récupéré en quelques jours ou que le propriétaire initial (légitime) ne récupère jamais son domaine volé.

Quelles que soient les conséquences, le détournement d'un domaine peut en définitive se solder par de graves répercussions sur le plan financier, pour la réputation et encore sur le plan réglementaire.

Détournement de domaine et usurpation de domaine

Lors d'un détournement de domaine, l'acteur malveillant dérobe le nom de domaine légitimement enregistré. L'usurpation de domaine consiste pour les cybercriminels à créer un faux site web ou un faux domaine de messagerie pour tenter de tromper les utilisateurs, à la manière d'un escroc qui présente à une personne de fausses références pour gagner sa confiance. Les acteurs malveillants n'ont pas besoin de prendre le contrôle d'un compte d'enregistrement pour usurper un domaine.

Détournement de domaine et détournement DNS

Le détournement de domaine, qui compromet le domaine lui-même, est différent du détournement DNS (également appelé empoisonnement DNS ). Dans le détournement DNS, un acteur malveillant cible l' enregistrement DNS du site web sur le serveur de noms.

Concrètement, les enregistrements du serveur de noms indiquent à Internet où aller pour trouver l'adresse IP d'un domaine. Si les enregistrements du serveur de noms sont mal configurés (c'est-à-dire « empoisonnés »), les acteurs malveillants peuvent détourner les requêtes vers un autre serveur de noms de domaine. Au lieu de charger le bon site web ou l'application, par exemple, le trafic de l'utilisateur peut être détourné vers une destination qui est une réplique du site d'origine mais qui transmet du logiciel malveillant.

Comment empêcher le détournement de domaine ?

La manière la plus simple pour les organisations de se protéger contre le détournement de domaine est de choisir un serveur d'inscription de noms de domaine réputé, qui offre des mesures de sécurité strictes. Recherchez des fonctionnalités telles que :

  • Authentification à deux facteurs (2FA) : la 2FA exige de tous les titulaires de comptes qu'ils prouvent leur identité de deux manières différentes avant de se voir accorder l'accès.
  • Confidentialité pour l'enregistrement de domaine : les services de confidentialité de domaine peuvent expurger les informations de contact du titulaire du domaine des enregistrements publics.
  • Verrouillage du serveur d'inscription : de nombreux serveurs d'inscription grand public prennent en charge le verrouillage du serveur d'inscription, ce qui empêche le registre de modifier les informations tant que le titulaire ne supprime pas explicitement le verrouillage.
  • Verrouillage du registre : le verrouillage du registre est un niveau de sécurité plus élevé qui nécessite plusieurs sources et ajoute des étapes de vérification indépendantes et hors ligne.
  • Délais de grâce de renouvellement : un délai de grâce après l'expiration peut aider les clients qui ont dépassé le délai d'expiration. Cela peut même affecter les utilisateurs qui bénéficiaient d'un renouvellement automatique, si leur carte de crédit enregistrée a expiré. Il est essentiel de choisir un serveur d'inscription offrant un délai de grâce pour contrer les acteurs malveillants qui cherchent activement à exploiter les domaines expirés.

Comment Cloudflare contribue à la prévention du détournement de domaine

Le serveur d'inscription de noms de domaine de Cloudflare, Cloudflare Registrar, propose aux clients de l' offre Enterprise une protection de domaine personnalisée pour empêcher le détournement de domaine. Avec la protection de domaine personnalisée, toutes les modifications apportées à la propriété du domaine ou au serveur de noms sont vérifiées et exécutées manuellement. Le protocole de modification strict permet de garantir que toutes les modifications sont approuvées directement par les entreprises.

Cloudflare Registrar comprend également un DNSSEC universel et intégré pour tous les domaines afin de protéger les domaines contre un large spectre d'attaques basées sur le DNS.