Il y a quelques minutes, vous avez décidé de consulter le site nordpass.com. Vous avez saisi le nom de domaine dans votre navigateur et hop ! Vous y êtes. Mais, vous êtes-vous déjà demandé ce qui se passe en arrière-plan ?
Contenu
Votre navigateur ne sait pas comment trouver ce domaine, il doit passer par un serveur DNS pour vous diriger jusqu'ici. Et même s'il vous connecte au bon site web, une attaque par usurpation de DNS pourrait vous faire atterrir tout à fait ailleurs. Découvrez de quoi il s'agit et comment vous en protéger.
Qu'est-ce que le DNSÂ ?
Pour comprendre l'usurpation de DNS, vous devez d'abord savoir ce que sont les serveurs DNS.
Tous les sites web sur Internet possèdent un nom de domaine et une adresse IP unique associée. Nos navigateurs ne peuvent y accéder qu'en utilisant les adresses IP. Ces adresses sont composées d'au moins huit chiffres (davantage si le site utilise l'IPv6), ce qui les rend peu pratiques et difficiles à retenir pour les humains. Nous utilisons donc des noms de domaine pour faciliter l'accès, comme nordpass.com pour NordPass. Le domaine et l'adresse IP de chaque site web sont stockés dans un serveur DNS auquel accèdent les navigateurs chaque fois que nous en avons besoin.
Ainsi, lorsque vous souhaitez accéder à un site web, vous saisissez le nom de domaine et votre navigateur interroge un serveur DNS pour connaître l'adresse IP correspondante. Si l'adresse figure dans la base de données du serveur, il la renvoie, et votre navigateur vous connecte au site web. Cependant, le serveur DNS ne connaît que les adresses les plus populaires de son réseau. Si le serveur reçoit une demande pour un nom de domaine qui ne figure pas dans sa base de données, il interroge un autre serveur DNS. Après avoir résolu le nom de domaine, l'adresse IP associée est stockée dans le cache du serveur pendant une courte période.
De même, votre navigateur vérifie son propre cache local avant d'interroger le serveur DNS. Si vous avez consulté le même domaine récemment, son adresse IP y est stockée. De cette façon, votre navigateur n'a pas besoin d'envoyer une nouvelle demande au serveur DNS et vous connecte plus rapidement.
Fonctionnement de l'usurpation de DNS
Les pirates utilisent l'usurpation de DNS (ou empoisonnement du cache DNS) pour rediriger les internautes vers de faux sites web parfaitement ressemblants. Souvent, les gens ne remarquent rien et utilisent ces sites comme d'habitude. L'objectif des cybercriminels est d'obtenir des informations sur leurs victimes (comme leurs identifiants de connexion) ou d'installer des logiciels malveillants sur leurs appareils.
Parfois, les pirates utilisent également l'usurpation de DNS pour lancer des attaques par déni de service distribué (DDoS). Ils redirigent les utilisateurs de plusieurs sites vers le site web ciblé qui, incapable de gérer la charge, se bloque.
Le DNS présente plusieurs vulnérabilités que les cybercriminels peuvent exploiter dans différentes attaques :
Empoisonnement du cache
C'est l'une des méthodes d'usurpation de DNS les plus populaires. L'empoisonnement du cache permet non seulement de rediriger les utilisateurs vers l'emplacement choisi par le pirate, mais aussi de corrompre les caches des autres serveurs DNS et de diffuser la fausse adresse IP. Le pirate insère l'adresse IP frauduleuse dans le cache et le serveur commence à l'envoyer chaque fois qu'un utilisateur en fait la demande.
De cette façon, lorsqu'un serveur envoie une requête pour ce domaine, il reçoit également une fausse adresse IP et la stocke dans son cache. L'entrée DNS piratée y reste jusqu'à l'expiration du cache, après quelques heures ou une journée complète.
Intrusion dans le serveur DNS
Cette méthode est similaire à l'empoisonnement du cache et repose également sur l'insertion d'une fausse adresse IP dans le serveur. Mais ce n'est pas aussi simple que de tromper un serveur pour qu'il stocke un enregistrement frauduleux dans le cache. Les pirates ont besoin des identifiants d'un utilisateur valide pour accéder au serveur DNS. Ils les obtiennent généralement en ayant recours à des enregistreurs de frappe, à l'hameçonnage, ou à une attaque de l'homme du milieu. Ce type d'usurpation de DNS est difficile à réaliser, mais permet d'enregistrer la fausse adresse IP directement dans la base de données du serveur. Elle y reste ensuite à long terme, au lieu d'expirer rapidement dans le cache.
Twitter a subi une attaque de ce type en 2009, lorsque des cybercriminels iraniens ont redirigé tout son trafic vers leur site. Cependant, l'entreprise n'a jamais révélé comment les pirates ont réussi à obtenir les informations d'identification d'un de ses employés.
Attaque de l'homme du milieu (MITM)
Lorsqu'un pirate parvient à intercepter la communication d'un utilisateur avec le serveur DNS, il peut répondre à ses requêtes en envoyant une adresse IP qui le dirige vers un site web frauduleux ou malveillant. Pour tenter d'obtenir des informations sans que la victime s'en aperçoive, le pirate crée une copie d'un site réel (réseau social, boutique en ligne, service de messagerie électronique, etc.). Certains sites contrefaits sont si fidèles à l'original qu'il est presque impossible de les distinguer. D'autres tentent de piéger les utilisateurs en employant des méthodes à la limite de l'absurde : par exemple, le site falsifié d'une célèbre boutique de vêtements donnait l'impression d'avoir été conçu avec le logiciel Paint de Microsoft.
Comment éviter l'usurpation de DNS ?
Les organisations peuvent protéger les serveurs DNS de diverses manières, notamment en utilisant le protocole DNSSEC (Domain Name System Security Extensions). Il s'appuie sur la cryptographie à clé publique pour authentifier les adresses IP, vérifier leur origine et s'assurer que personne ne les a modifiées lors du transit.
Malheureusement, les internautes ne peuvent pas faire grande chose pour mettre un terme à l'usurpation de DNS. Il n'y a aucun moyen de vérifier si l'adresse IP envoyée par le serveur DNS est authentique ou a été remplacée par une autre. Mais il ne faut pas se résigner. Lorsqu'il s'agit de faux sites Web, il existe de nombreux signes révélateurs :
- Vérifiez si une icône de cadenas se trouve à côté de l'URL. Cela signifie que le site dispose d'un certificat TLS/SSL valide et que toutes les communications entre vous et le site web sont chiffrées. Si les pirates n'ont pas fait trop d'effort pour mettre au point le faux site, ils n'auront probablement pas obtenu ce certificat. Toutes les pages web majeures en ont un, donc l'absence de « https » au début de l'URL est un signe avant-coureur.
- Vérifiez le lien URL. Le domaine correspond-il à votre saisie dans votre navigateur ? Manque-t-il des lettres ? Nos yeux sont tellement habitués à lire « amazon.com » que beaucoup de gens ne remarqueront pas « arnazon.com ». Si le domaine est différent de celui que vous avez l'habitude de consulter, cela signifie que vous êtes victime d'une redirection. Méfiez-vous et ne saisissez pas d'informations personnelles avant de vérifier que vous n'êtes pas sur un site web frauduleux.
- La page correspond-elle à la marque ? Si vous consultez souvent ce site ou si vous connaissez bien la marque, vous devriez remarquer des différences. Le logo et le slogan sont-ils à jour ? Les images, les polices et le design général sont-ils conformes à ce que vous attendez de la marque ? Si quelque chose vous semble suspect, il vaut mieux examiner le site plus en détail.
- Prêtez attention au contenu. S'il s'agit d'un blog personnel, des fautes de frappe peuvent se glisser dans le texte. Mais les grandes entreprises dépensent beaucoup d'argent pour valoriser leur image, et les erreurs de grammaire évidentes ne sont jamais bien perçues, il devrait donc n'y en avoir aucune. Les pirates passent souvent plus de temps à copier le style et deviennent un peu paresseux lorsqu'il s'agit de recréer le contenu du site. Si le texte est mal rédigé ou si les titres n'ont pas beaucoup de sens, faites attention.
Ces conseils vous aideront à identifier un faux site web. Cependant, si vous tombez sur un site malveillant, dans tous les cas, des virus pourraient être installés sur votre appareil. Si cela vous arrive, faites-le immédiatement analyser et assurez-vous de pouvoir l'utiliser en toute sécurité. De nombreux types de programmes malveillants peuvent infecter votre ordinateur portable ou votre smartphone, il est donc préférable de prendre des précautions.