Il y a quelques minutes, vous avez décidé de consulter le site nordpass.com. Vous l'avez saisi dans votre navigateur et hop ! Vous êtes là. Mais, vous êtes-vous déjà demandé ce qui se passe en arrière-plan ?
Contenu:
Votre navigateur ne sait pas comment trouver ce domaine, il doit passer par un serveur DNS pour vous diriger jusqu'ici. Et même s'il vous connecte au bon site Web, une attaque par usurpation de DNS pourrait vous faire atterrir tout à fait ailleurs. Découvrez de quoi il s'agit et comment vous en protéger.
Qu'est-ce que le DNS ?
Pour comprendre l'usurpation de DNS, vous devez d'abord savoir ce que sont les serveurs DNS.
Tous les sites Web sur Internet possèdent un nom de domaine et une adresse IP unique associée. Nos navigateurs ne peuvent y accéder qu'en utilisant les adresses IP. Ces adresses sont composées d'au moins huit chiffres (davantage si le site utilise l'IPv6), ce qui les rend peu pratiques et difficiles à retenir pour des humains. Nous utilisons donc des noms de domaine pour faciliter l'accès, comme nordpass.com pour NordPass. Le domaine et l'adresse IP de chaque site Web sont stockés dans un serveur DNS auquel accèdent les navigateurs chaque fois que nous en avons besoin.
Ainsi, lorsque vous souhaitez accéder à un site Web, vous saisissez le nom de domaine et votre navigateur interroge un serveur DNS pour connaître l'adresse IP correspondante. Si l'adresse figure dans la base de données du serveur, il la renvoie et votre navigateur vous connecte au site Web. Cependant, le serveur DNS ne connaît que les adresses les plus populaires de son réseau. Si le serveur reçoit une demande pour un nom de domaine qui ne figure pas dans sa base de données, il interroge un autre serveur DNS. Après avoir résolu le nom de domaine, votre serveur local stockera le nom de domaine et l'adresse IP associée dans son cache pendant une courte période.
De même, votre navigateur vérifie son propre cache local avant d'interroger le serveur DNS. Si vous avez consulté le même domaine récemment, son adresse IP y est stockée. De cette façon, votre navigateur n'a pas besoin d'envoyer une nouvelle demande au serveur DNS et vous connecte plus rapidement.
Comment fonctionne l'usurpation de DNS ?
Les pirates utilisent l'usurpation de DNS (ou empoisonnement du cache DNS) pour rediriger les internautes vers de faux sites Web parfaitement ressemblants. Souvent, les individus ne remarquent rien et utilisent ces sites comme d'habitude. L'objectif des cybercriminels est d'obtenir des informations sur leurs victimes (comme leurs identifiants de connexion) ou d'installer des logiciels malveillants sur leurs appareils.
Parfois, les pirates utilisent également l'usurpation de DNS pour lancer des attaques par déni de service distribué (DDoS). Ils redirigent les utilisateurs de plusieurs sites vers le site Web ciblé qui, incapable de gérer la charge, se bloque.
Le DNS présente plusieurs vulnérabilités que les cybercriminels peuvent exploiter dans différentes attaques :
Empoisonnement du cache
C'est l'une des méthodes d'usurpation de DNS les plus populaires. L'empoisonnement du cache permet non seulement de rediriger les utilisateurs vers l'emplacement choisi par le pirate, mais aussi de corrompre les caches des autres serveurs DNS et de diffuser la fausse adresse IP. Le pirate insère l'adresse IP frauduleuse dans le cache et le serveur commence à l'envoyer chaque fois qu'un utilisateur en fait la demande.
De cette façon, lorsqu'un serveur envoie une requête pour ce domaine, il reçoit également une fausse adresse IP et la stocke dans son cache. L'entrée DNS piratée y reste jusqu'à l'expiration du cache, après quelques heures ou une journée complète.
Intrusion dans le serveur DNS
Cette méthode est similaire à l'empoisonnement du cache et repose également sur l'insertion d'une fausse adresse IP dans le serveur. Mais ce n'est pas aussi simple que de tromper un serveur pour qu'il stocke un enregistrement frauduleux dans le cache. Les pirates ont besoin des identifiants d'un utilisateur valide pour accéder au serveur DNS. Ils les obtiennent généralement en ayant recours à des enregistreurs de frappe, à l'hameçonnage, ou à une attaque de l'homme du milieu. Ce type d'usurpation de DNS est difficile à réaliser, mais permet d'enregistrer la fausse adresse IP directement dans la base de données du serveur. Elle y reste ensuite à long terme, au lieu d'expirer rapidement dans le cache.
Twitter a subi une attaque de ce type en 2009 lorsque des cybercriminels iraniens ont redirigé tout son trafic vers leur site. Cependant, l'entreprise n'a jamais révélé comment les pirates avaient réussi à obtenir les informations d'identification d'un de ses employés.
Attaque de l'homme du milieu (MITM)
Lorsqu'un pirate parvient à intercepter la communication d'un utilisateur avec le serveur DNS, il peut répondre à ses requêtes en envoyant une adresse IP qui le dirige vers un site Web frauduleux ou malveillant. Pour tenter d'obtenir des informations sans que la victime s'en aperçoive, le pirate crée une copie d'un site réel (réseau social, boutique en ligne, service de messagerie électronique, etc.). Certains sites contrefaits sont si fidèles à l'original qu'il est presque impossible de les distinguer. D'autres tentent de piéger les utilisateurs en employant des méthodes à la limite de l'absurde : par exemple, le site falsifié d'une célèbre boutique de vêtements donnait l'impression d'avoir été conçu avec le logiciel Paint de Microsoft.
Comment éviter l'usurpation de DNS ?
Les organisations peuvent protéger les serveurs DNS de diverses manières, notamment en utilisant le protocole DNSSEC (Domain Name System Security Extensions). Il utilise la cryptographie à clé publique pour authentifier les adresses IP, vérifier leur origine et s'assurer que personne ne les a altérées pendant le transit.
Malheureusement, les internautes ne peuvent pas faire grande chose pour mettre un terme à l'usurpation de DNS. Il n'y a aucun moyen de vérifier si l'adresse IP envoyée par le serveur DNS est authentique ou a été remplacée par une autre. Mais il ne faut pas se résigner. Lorsqu'il s'agit de faux sites Web, il existe de nombreux signes révélateurs :
Vérifiez si une icône de cadenas se trouve à côté de l'URL. Cela signifie que le site dispose d'un certificat TLS/SSL valide et que toutes les communications entre vous et le site Web sont chiffrées. Si les pirates n'ont pas fait trop d'effort pour mettre au point le faux site, ils n'auront probablement pas obtenu ce certificat. Toutes les pages Web majeures en ont un, donc l'absence de « https » au début de l'URL est un signe avant-coureur.
Vérifiez l’URL. Le domaine correspond-il à votre saisie dans votre navigateur ? Manque-t-il des lettres ? Nos yeux sont tellement habitués à lire « amazon.com » que beaucoup ne remarqueront pas « arnazon.com ». Si le domaine est différent de celui que vous avez l'habitude de consulter, cela signifie que vous êtes victime d'une redirection. Méfiez-vous et ne saisissez pas d'informations personnelles avant d'avoir vérifié que vous n'êtes pas sur un site Web frauduleux.
La page correspond-elle à la marque ? Si vous consultez souvent ce site ou si vous connaissez bien la marque, vous devriez remarquer des différences. Le logo et le slogan sont-ils à jour ? Les images, les polices et le design général sont-ils conformes à ce que vous attendez de la marque ? Si quelque chose vous semble suspect, il vaut mieux examiner le site plus en détail.
Prêtez attention au contenu. S'il s'agit d'un blog personnel, des fautes de frappe peuvent se glisser dans le texte. Les grandes entreprises dépensent beaucoup d'argent pour valoriser leur image. Comme les erreurs de grammaire ne sont jamais bien perçues, il ne devrait pas y en avoir. Les pirates passent souvent plus de temps à copier le design et deviennent un peu paresseux lorsqu'il s'agit de recréer le contenu du site. Si le texte est mal rédigé ou si les titres n'ont pas beaucoup de sens, faites attention.
Ces conseils vous aideront à identifier un faux site Web. Cependant, si vous tombez sur un site malveillant, dans tous les cas, des virus pourraient être installés sur votre appareil. Si cela vous arrive, faites-le immédiatement analyser pour pouvoir l'utiliser en toute sécurité. De nombreux types de programmes malveillants peuvent infecter votre ordinateur portable ou votre smartphone, il est donc préférable de prendre des précautions.