Qu'est-ce que le DNS Poisoning ? Définition, conséquences et exemples

Qu'est-ce qu'une attaque par empoisonnement de cache DNS ?

Qu'est-ce qu'un Réseau DNS ?

Un DNS(Domain Name System), traduit un nom de domaine lisible par l’homme (comme www.nomdedomaine.com) en adresse IP (comme 192.0.2.1). Cette adresse IP est une série de chiffres utilisée par les machines pour localiser les serveurs sur Internet.

Voici comment fonctionne concrètement un réseau DNS pour effectuer cette traduction :

1. Lorsqu’un utilisateur saisit une adresse Internet dans la barre de son navigateur, sa requête est envoyée à un résolveur DNS, souvent géré par le fournisseur d'accès à Internet (FAI). Le résolveur DNS interroge d'abord un serveur DNS racine, puis il se dirige vers les serveurs DNS responsables de l'extension du domaine (comme .com, .fr).
   
   
2.  Le serveur DNS responsable de l'extension fournit l'information sur le serveur DNS qui gère le domaine recherché (ex : nomdedomaine.com). Le résolveur DNS du fournisseur d'accès interroge ensuite ce serveur DNS pour obtenir l'adresse IP exacte associée à ce domaine.
   
   
3. Enfin, le résolveur envoie cette adresse IP au navigateur de l’utilisateur, ce qui lui permet d’accéder au site web. Le résolveur DNS conserve également cette adresse IP en cache pendant un certain temps pour accélérer les futures requêtes vers ce site.

Qu'est-ce qu'une attaque DNS Poisoning ?

Un empoisonnement DNS, aussi nommé DNS Poisoning, est une cyberattaque qui tire profit des failles de sécurité du DNS. En effet, le système DNS a été élaboré aux débuts des années 80 pendant les prémisses du développement d’Internet et n’intègre pas de mesure de sécurité spécifique.

Cet état de fait permet aux hackers d’utiliser une technique de piratage pour rediriger le trafic de sites légitimes vers des sites malveillants en modifiant les réponses DNS. Ces données frauduleuses sont alors stockées dans votre cache DNS. L’attaque DNS Poisoning s’avère alors réussie. Le DNS Poisoning peut également être utilisé dans une attaque Man-in-the-Middle (MITM), où le pirate intercepte et manipule les communications après avoir redirigé le trafic via l'usurpation DNS.

Quelles sont les conséquences pour l'utilisateur d'une attaque DNS Poisoning ?

Les risques pour l’utilisateur d’une attaque par empoisonnement DNS 

Si nous avons vu qu’il pouvait s’avérer relativement simple de mettre en place des redirections causées par un DNS Poisoning, il ne faut pour autant pas négliger leur dangerosité. Ce type de cyberattaque peut, en effet, avoir des conséquences tout aussi redoutables que des attaques plus sophistiquées. Les pirates peuvent ainsi :

• dérober des identifiants en redirigeant les utilisateurs vers de faux sites où ceux-ci s’identifieront, ce qui permet alors à l’attaquant de réussir une opération de phishing. Il récupère ainsi les identifiants et mots de passe de ses victimes pour les exploiter ou les revendre.
• installer des logiciels malveillants sur le système de l’utilisateur (de type cheval de Troie) en incitant l’utilisateur à se connecter à un site web disposant d’un lien malveillant.
• détourner des transactions, dérober des numéros de comptes bancaires ou toutes autres données sensibles.
• bloquer l’affichage du site victime d’une usurpation DNS et ternir son image de marque.
• suspendre les mises à jour de sécurité d’un système en usurpant le site d’un fournisseur d’anti-virus. Ce moyen permet de fragiliser la sécurité de l’ordinateur et de le rendre perméable aux cyberattaques.

Mise en situation d'un piratage par DNS

Il existe de nombreuses techniques qui permettent le piratage DNS. Les pirates peuvent, en effet, soit attaquer le registre DNS de correspondance entre nom de domaine et IP d’un bureau d’enregistrement de noms de domaine, soit préférer infecter l’ordinateur des internautes en accédant à un fichier de leur système d’exploitation.

Une autre solution très fréquente pour piéger un utilisateur par empoisonnement DNS : l’offre d’accès à un réseau Wi-Fi gratuit. Dans ce cas, nul besoin aux cybercriminels de recourir à des vulnérabilités ou à des virus.

Ils installent simplement leur propre serveur DNS sur le réseau gratuit. Sans que la victime ne s'en aperçoive, ce serveur redirige le flux vers de faux sites Internet.Les hackers n’ont alors qu’à se servir en récupérant les identifiants, mots de passe, coordonnées bancaires… Et leur supercherie passe (au moins sur le moment) complètement inaperçue.

Exemples d'attaques DNS Poisoning

Les attaques DNS comme moyen de censure ou de contestation

Si les pirates organisant un empoisonnement DNS poursuivent le plus souvent un objectif vénal, certains États utilisent ce type d’attaque à des fins idéologiques.

C’est le cas de la Chine qui a mis en place un « Grand Pare-feu » afin de contrôler les informations auxquelles les internautes chinois ont accès. En manipulant le DNS, c’est-à-dire en associant des adresses IP « validées » aux noms de domaine réellement recherchés, le gouvernement chinois s’assure ainsi que seuls les sites autorisés par ses soins peuvent être consultés. Le DNS Poisoning se révèle ainsi un excellent moyen de censure.

À l’inverse, certains États ne respectant pas les Droits de l’Homme peuvent faire aussi l’objet d’empoisonnement de certains de leurs noms de domaine par des militants.

C’est le cas de la Malaisie dont plusieurs sites ont été empoisonnés en 2013 par des hacktivistes bangladais. Ceux-ci, en bloquant des noms de domaines malaisiens de sites très connus, tels Google ou Microsoft, souhaitaient alors alerter sur les mauvais traitements infligés aux travailleurs bangladais en Malaisie.

Autre exemple super connu

Parmi les nombreuses autres cyberattaques par empoisonnement DNS, on peut mentionner l’attaque de l’ONG Wikileaks dont la mésaventure a défrayé la chronique en 2017.

Cette fois, les pirates avaient procédé à un empoisonnement du cache DNS pour détourner le trafic web qui s’orientait vers le site officiel vers une page noire conçue par l’occasion par le groupe OurMine.

Ce groupe de pirates y avait laissé une explication concernant leur intention, à savoir répondre à un défi lancé par Wikileaks, ce qui lui a aussi permis de souligner les failles du site Wikileaks et, sans doute, par la même occasion, de ternir la réputation de l’ONG.

Ce détournement a heureusement pris fin en quelques heures, mais a néanmoins réussi à créer un bad buzz.

Comment les fournisseurs d'accès internet et hébergeurs peuvent-ils se protéger des attaques DNS Cache Poisoning ?

Les effets d’un empoisonnement du cache DNS peuvent donc impacter fortement les victimes de ce piratage. Mais pour s’en protéger, les professionnels d’Internet tout comme les entreprises disposent de solutions efficaces.

Parmi les meilleures pratiques de cybersécurité pour empêcher un empoisonnement DNS :

• l’implémentation du protocole DNSSEC : il s’agit d’extensions de sécurité qui permettent de vérifier et d’authentifier les données DNS.
• la surveillance des caches DNS : c’est l’approche Zero Trust qui exige une vérification, authentification et validation permanente des adresses Internet afin de détecter toute tentative d’usurpation malveillante.
• l’utilisation de serveurs DNS sécurisés : les serveurs DNS peuvent être sécurisés de diverses manière, notamment grâce au protocole HTTPS qui chiffre le trafic DNS pour les rendre illisibles par les cybercriminels ou par la mise à jour régulière du logiciel DNS.
• le recours à des détecteurs d’usurpation d’identité DNS : ces outils se chargent de vérifier la validité des données DNS reçues.
• le choix d’un résolveur DNS rapide : en raccourcissant le temps de réponse du serveur DNS, un résolveur de requêtes rapide peut permettre d’éviter les infiltrations de réponses malveillantes.

Afin de mettre certaines de ces précautions en place, il convient naturellement de s’adresser à un professionnel de la cybersécurité.

Conclusion : Comment se former à la protection des infrastructures des attaques DNS ?

Le recours à des outils de protection des DNS permet d’éviter certaines attaques, mais nous l’avons vu, les moyens de procéder à des DNS Poisoning ne manquent pas.

Aussi, l’une des meilleures solutions pour parer ce type d’attaque consiste à recourir à des professionnels de la cybersécurité et de la protection des infrastructures DNS.

Parmi les métiers les plus indiqués, l’ingénieur sécurité réseau dispose des compétences pour tester les infrastructures, déployer les mesures nécessaires pour corriger les vulnérabilités et prévenir les cyberattaques.

Vous souhaitez former votre équipe pour faire face aux cybermenaces ? Ou vous envisagez une reconversion pour protéger les infrastructures informatiques ? Nous avons la solution idéale pour vous !

Chez Jedha, nous proposons un parcours de formation complet en cybersécurité, conçu pour vous rendre qualifié et opérationnel en quelques mois :

• Formation Cybersécurité Essentials : maîtrisez les bases de la cybersécurité.
• Formation Cybersécurité Fullstack : devenez un professionnel reconnu avec une formation complète.
• Formation Cybersécurité Lead : spécialisez-vous et devenez un expert en sécurité informatique.

Questions fréquentes à propos des attaques DNS Poisoning 

Quelles sont les étapes d’une attaque DNS Poisoning ? 

1. Pour concrétiser une attaque empoisonnement DNS, le pirate s’infiltre le plus souvent au niveau du serveur DNS ou du cache DNS.
2. Il associe une adresse IP frauduleuse à l’adresse DNS légitime. On parle d’usurpation de DNS, ou dans sa version anglophone de DNS spoofing.
3. Le trafic web de l’utilisateur se dirige alors vers un site malveillant, qui s’avère assez souvent un sosie du site légitime afin que l’internaute ne se rende pas compte de la supercherie.
4. Le cyberattaquant récupère ainsi les données souhaitées et les exploite selon son bon vouloir.

Quelle est la différence entre l’attaque par empoisonnement ARP et DNS ? 

Les attaques par empoisonnement ARP et DNS reposent sur le même principe : associer une adresse IP frauduleuse à une autre adresse. Toutefois, il y a bien une différence : ces attaques touchent des couches de réseau différentes.

Dans le cas de l’empoisonnement ARP, l’attaque concerne le réseau local. L’IP frauduleuse est associée à une adresse MAC (Media Access Control) qui permet aux machines de s’échanger des informations localement. Ces données sont alors échangées avec un appareil malveillant.

Dans le cas de l’empoisonnement DNS, l’IP usurpatrice est, quant à elle, associée au nom de domaine légitime du site, ce qui permet à l’assaillant de détourner le trafic vers un faux site web.

Le résultat est néanmoins similaire : l’internaute ne détecte pas l’attaque, ce qui permet au pirate d’accéder à ses données, de perturber le trafic…

‍