La menace mondiale de détournement de DNS

Dans une série d'attaques liées, les pirates informatiques falsifient les enregistrements DNS pour envoyer les utilisateurs vers de faux sites web conçus pour voler les identifiants de connexion et d'autres informations sensibles.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le détournement DNS
  • Décrire comment les pirates utilisent le détournement DNS pour obtenir les informations de connexion
  • Décrire comment les fournisseurs de service DNS et les navigateurs web peuvent aider à empêcher le piratage DNS

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que la menace mondiale de détournement du DNS ?

Des experts de grandes entreprises de cybersécurité, dont Tripwire, FireEye et Mandiant, ont signalé une vague alarmante d'attaques de détournement de DNS dans le monde. Ces attaques visent des entités gouvernementales, de télécommunications et Internet au Moyen-Orient, en Europe, en Afrique du Nord et en Amérique du Nord.

Les chercheurs n'ont pas identifié publiquement les sites ciblés, mais ont reconnu que le nombre de domaines compromis était de l'ordre de plusieurs dizaines. Ces attaques, qui se produisent depuis au moins 2017, sont utilisées conjointement avec des informations d'identification précédemment volées pour diriger les utilisateurs vers de faux sites web conçus pour voler des informations de connexion et d'autres informations sensibles.

Bien que personne n'ait revendiqué ces attaques, de nombreux experts pensent qu'elles proviennent d'Iran. Plusieurs adresses IP des pirates ont été retracées en Iran. S'il est possible que les pirates usurpent des adresses IP iraniennes pour effacer toute trace, les cibles de l'attaque semblent également satisfaire les intérêts de l'Iran. Les cibles comprennent des sites gouvernementaux de plusieurs pays du Moyen-Orient, des sites contenant des données qui n'ont aucune valeur financière mais qui seraient très précieuses pour le gouvernement iranien.

Comment fonctionnent ces attaques de détournement de DNS ?

Il existe plusieurs stratégies d'attaque différentes, mais le déroulement des attaques est le suivant :

  1. Le pirate crée un faux site qui ressemble exactement au site qu'il cible.
  2. Le pirate utilise une attaque ciblée (comme l'hameçonnage) pour obtenir les informations de connexion au panneau d'administration du fournisseur de service DNS* pour le site cible.
  3. Le pirate va ensuite dans le panneau d'administration du DNS et modifie les enregistrements DNS du site qu'il cible (c'est ce qu'on appelle le détournement du DNS), afin que les utilisateurs qui tentent d'accéder au site soient envoyés vers le site factice.
  4. Le pirate falsifie un certificat de chiffrement TLS qui convaincra le navigateur d'un utilisateur que le site factice est légitime.
  5. Les utilisateurs non avertis vont à l'URL du site compromis et sont redirigés vers le site factice.
  6. Les utilisateurs tentent ensuite de se connecter sur le faux site et leurs informations de connexion sont collectées par le pirate.
Détournement du DNS

*Le DNS (Domain Name System) est comme le répertoire téléphonique d'Internet. Lorsqu'un utilisateur saisit une URL, comme « google.com » dans son navigateur, ses enregistrements sur des serveurs DNS le dirigent vers le serveur d'origine de Google. Si ces enregistrements DNS sont falsifiés, les utilisateurs peuvent se retrouver dans un lieu inattendu.

Comment éviter les attaques de détournement du DNS ?

Les utilisateurs individuels ne peuvent pas faire grand-chose pour se protéger contre la perte de leurs identifiants dans ce type d'attaques. Si l'attaquant est suffisamment soigneux lors de la création de son site factice, il peut être très difficile pour les utilisateurs, même s'il ont un œil averti, de faire la différence.

Une façon d'atténuer ces attaques consisterait pour les fournisseurs de service DNS à renforcer leur authentification, en demandant, par exemple, une authentification à deux facteurs, ce qui rendrait considérablement plus difficile pour les pirates d'accéder aux panneaux d'administration du DNS. Les navigateurs peuvent également mettre à jour leurs règles de sécurité, par exemple en examinant la source des certificats TLS pour s'assurer qu'ils proviennent d'une source conforme au domaine sur lequel ils sont utilisés.