Dans une série d'attaques liées, les pirates informatiques falsifient les enregistrements DNS pour envoyer les utilisateurs vers de faux sites web conçus pour voler les identifiants de connexion et d'autres informations sensibles.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce que la sécurité des applications web ?
Le détournement BGP
Attaque de phishing
violation de données
Attaque de l'homme du milieu
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Des experts de grandes entreprises de cybersécurité, dont Tripwire, FireEye et Mandiant, ont signalé une vague alarmante d'attaques de détournement de DNS dans le monde. Ces attaques visent des entités gouvernementales, de télécommunications et Internet au Moyen-Orient, en Europe, en Afrique du Nord et en Amérique du Nord.
Les chercheurs n'ont pas identifié publiquement les sites ciblés, mais ont reconnu que le nombre de domaines compromis était de l'ordre de plusieurs dizaines. Ces attaques, qui se produisent depuis au moins 2017, sont utilisées conjointement avec des informations d'identification précédemment volées pour diriger les utilisateurs vers de faux sites web conçus pour voler des informations de connexion et d'autres informations sensibles.
Bien que personne n'ait revendiqué ces attaques, de nombreux experts pensent qu'elles proviennent d'Iran. Plusieurs adresses IP des pirates ont été retracées en Iran. S'il est possible que les pirates usurpent des adresses IP iraniennes pour effacer toute trace, les cibles de l'attaque semblent également satisfaire les intérêts de l'Iran. Les cibles comprennent des sites gouvernementaux de plusieurs pays du Moyen-Orient, des sites contenant des données qui n'ont aucune valeur financière mais qui seraient très précieuses pour le gouvernement iranien.
Il existe plusieurs stratégies d'attaque différentes, mais le déroulement des attaques est le suivant :
*Le DNS (Domain Name System) est comme le répertoire téléphonique d'Internet. Lorsqu'un utilisateur saisit une URL, comme « google.com » dans son navigateur, ses enregistrements sur des serveurs DNS le dirigent vers le serveur d'origine de Google. Si ces enregistrements DNS sont falsifiés, les utilisateurs peuvent se retrouver dans un lieu inattendu.
Les utilisateurs individuels ne peuvent pas faire grand-chose pour se protéger contre la perte de leurs identifiants dans ce type d'attaques. Si l'attaquant est suffisamment soigneux lors de la création de son site factice, il peut être très difficile pour les utilisateurs, même s'il ont un œil averti, de faire la différence.
Une façon d'atténuer ces attaques consisterait pour les fournisseurs de service DNS à renforcer leur authentification, en demandant, par exemple, une authentification à deux facteurs, ce qui rendrait considérablement plus difficile pour les pirates d'accéder aux panneaux d'administration du DNS. Les navigateurs peuvent également mettre à jour leurs règles de sécurité, par exemple en examinant la source des certificats TLS pour s'assurer qu'ils proviennent d'une source conforme au domaine sur lequel ils sont utilisés.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité