Qu’est-ce que le DNS Poisoning ?

Lorsque le DNS est empoisonné, cet annuaire est falsifié, ce qui conduit les utilisateurs à créer de faux sites web qui imitent ceux qui sont légitimes.

Ces faux sites peuvent ensuite être utilisés pour voler des informations sensibles telles que les identifiants de connexion ou les détails de la carte de crédit, ou pour installer des malwares sur les appareils des victimes qui ne se doutent de rien. En substance, l'empoisonnement des DNS trompe votre ordinateur en l'amenant vers le mauvais emplacement en ligne, mettant en danger vos données et votre vie privée.

Pour ce faire, l’attaquant peut manipuler les fichiers hôtes, ce qui lui permet de modifier les fichiers hôtes présents sur l’appareil d’un utilisateur afin de résoudre un nom de domaine avec des adresses IP incorrectes. Les serveurs DNS malveillants sont également un coupable fréquent, car les attaquants installent des serveurs DNS malveillants et trompent les clients pour les utiliser.  

Chaque fois que vous souhaitez visiter un site web, votre ordinateur demande à un résolveur DNS - un serveur spécial qui agit comme un bibliothécaire - de rechercher l'adresse IP correcte pour l'emplacement de l'hébergement web. Pour accélérer les choses, ce bibliothécaire garde une trace des numéros récemment consultés dans leur « cache », afin de ne pas avoir à fouiller l'annuaire téléphonique entier à chaque fois.

L'empoisonnement du cache DNS exploite ce raccourci.  Un attaquant trompe le résolveur DNS pour qu'il associe un mauvais numéro à un nom légitime, comme par exemple une fausse adresse pour le site web de votre banque.

Après l'attaque, les requêtes adressées au serveur de cache DNS redirigent la requête vers une entrée incorrecte. Cette entrée « empoisonnée » reste dans le cache pendant un certain temps, ce qui peut induire plusieurs utilisateurs en erreur jusqu'à ce qu'elle soit effacée ou mise à jour.

La mise en cache des DNS est un mécanisme qui améliore l’efficacité et la rapidité de résolution des noms de domaine. Lorsque l’appareil d’un utilisateur doit accéder à un site web, le système d’exploitation ou l’application lance une requête DNS pour résoudre le nom de domaine en adresse IP.

Cette requête est généralement envoyée à un résolveur DNS récursif, souvent exploité par un fournisseur de services Internet ou un fournisseur de DNS dédié.

L'adresse IP correspondante sera stockée dans son cache si le résolveur a précédemment résolu le même nom de domaine. Le résolveur renvoie immédiatement l’adresse IP à partir de son cache, ce qui élimine la nécessité d’interroger les serveurs de noms faisant autorité. Ce processus réduit considérablement la latence et améliore les temps de chargement des sites web pour les utilisateurs.

Toutefois, supposons que le résolveur ne dispose pas du nom de domaine demandé dans son cache. Dans ce cas, il lancera une série de requêtes aux serveurs de noms faisant autorité pour obtenir l'adresse IP correcte. La mise en cache DNS résout les noms de domaine principaux et les sous-domaines DNS , ce qui garantit un accès plus rapide au contenu spécifique aux sous-domaines.

Ce processus implique l'interrogation des serveurs racine, des serveurs de domaine de premier niveau (TLD) et des serveurs de noms faisant autorité pour le domaine spécifique. Une fois que le résolveur reçoit l’adresse IP, il la stocke dans son cache pour une utilisation ultérieure et la renvoie au périphérique demandeur.

Comment les attaquants effectuent-ils l’empoisonnement du cache DNS ?

Les attaquants utilisent généralement des techniques qui exploitent le manque d'authentification et de contrôles d'intégrité dans les DNS traditionnels. Voici une description détaillée du processus d'attaque DNS :

Exploiter les prédictions et les conditions de course : Les attaquants initient souvent un volume élevé de requêtes DNS pour un domaine ciblé vers un résolveur DNS vulnérable.  Simultanément, ils envoient une réponse DNS falsifiée contenant une adresse IP malveillante, en espérant qu'elle arrivera avant la réponse légitime du serveur de noms faisant autorité. Cela exploite le comportement prédictif du résolveur et crée une condition de concurrence critique.

Attaques de l’homme du milieu : Les attaquants peuvent se positionner entre un utilisateur et un résolveur DNS, interceptant et manipulant les requêtes et les réponses DNS. En forgeant des réponses, ils peuvent rediriger les utilisateurs vers des sites web malveillants à leur insu. Cela peut être réalisé par l'usurpation ARP ou par la compromission de l'infrastructure réseau.

Compromettre les serveurs de noms faisant autorité : Dans certains cas, les attaquants peuvent obtenir un accès non autorisé aux serveurs de noms faisant autorité d'un domaine. Cela leur permet de modifier directement les enregistrements DNS, empoisonnant ainsi l'ensemble du système DNS de ce domaine.

Il est également intéressant de noter que certains résolveurs DNS sont configurés en tant que « résolveurs ouverts », ce qui signifie qu’ils acceptent et traitent les requêtes DNS provenant de n’importe quelle source sur Internet. Les attaquants peuvent exploiter ces résolveurs ouverts pour amplifier leurs attaques ou empoisonner les caches d'autres résolveurs qui s'appuient sur eux.

Comment détecter, prévenir et corriger un empoisonnement DNS ?

L'empoisonnement des DNS peut être difficile à détecter, mais certains signaux d'alarme peuvent indiquer un problème potentiel. Cela peut être le signe d'un empoisonnement des DNS si vous êtes redirigé(e) de manière inattendue vers un site web qui semble différent ou si vous demandez des identifiants alors que ce n'est pas le cas.

Parmi les autres indicateurs figurent les divergences dans les certificats de sécurité, les adresses inhabituelles de sites web ou les difficultés d’accès à des sites web qui étaient auparavant accessibles. La prévention de l’empoisonnement des DNS nécessite une approche à multiples facettes :

1. Implémenter des extensions de sécurité DNS (DNSSEC) : DNSSEC ajoute une couche d'authentification aux enregistrements DNS, ce qui rend considérablement plus difficile pour les attaquants d'injecter de fausses informations. Il utilise des signatures numériques pour vérifier l'authenticité des données DNS, garantissant ainsi que les informations reçues par les résolveurs sont authentiques.

2. Utiliser des résolveurs DNS sécurisés : Optez pour des résolveurs DNS réputés d'organisations de confiance comme Google Public DNS ou Cloudflare. Ces résolveurs utilisent souvent des mesures de sécurité pour atténuer les attaques par empoisonnement DNS.

3. Mettre à jour régulièrement le logiciel DNS : Maintenez à jour votre système d'exploitation, votre navigateur et les logiciels de votre serveur DNS. Les mises à jour logicielles incluent souvent des correctifs de sécurité qui corrigent les vulnérabilités connues et exploitées par les attaquants.

4. Monitorer l'activité DNS : Mettre en œuvre des outils de surveillance du réseau pour suivre les requêtes et les réponses DNS. Cela peut aider à identifier des schémas inhabituels ou des activités suspectes qui peuvent indiquer une attaque.

5. Sensibiliser les utilisateurs : Apprenez aux utilisateurs à reconnaître les signes potentiels d'empoisonnement des DNS, comme les redirections inattendues de sites web ou les demandes d'informations sensibles. Les encourager à signaler toute activité suspecte.

Si vous suspectez un empoisonnement du DNS, procédez comme suit pour résoudre le problème. Plus la résolution est rapide, mieux c’est pour votre entreprise et vos clients :

1. Vider le cache DNS : La suppression du cache DNS supprime tous les enregistrements potentiellement empoisonnés. Cela peut se faire via des outils en ligne de commande ou en redémarrant votre routeur et vos périphériques.
    
2. Changer de serveur DNS : Basculer vers un autre résolveur DNS plus sécurisé.
    
3. Examiner et atténuer la source : Si l'empoisonnement provient de votre réseau, identifiez l'appareil ou le serveur compromis et prenez les mesures appropriées pour supprimer le logiciel malveillant ou la configuration.

Quelle est la différence entre l'usurpation DNS et l'empoisonnement DNS ?

Bien que les termes soient souvent utilisés de manière interchangeable, il existe une subtile distinction entre usurpation DNS et empoisonnement DNS. L’usurpation des DNS est un terme plus large qui englobe toute attaque visant à falsifier les données DNS, y compris la modification des enregistrements DNS pour rediriger les utilisateurs vers des sites web malveillants.

L'empoisonnement DNS, ou empoisonnement du cache DNS, est un type spécifique d'usurpation DNS qui se concentre sur la corruption des enregistrements DNS mis en cache sur un résolveur DNS. 

En substance, l'empoisonnement des DNS est une méthode utilisée pour réaliser l'usurpation des DNS, mais d'autres techniques telles que les attaques par l'homme du milieu ou la compromission des serveurs de noms faisant autorité relèvent également de l'usurpation des DNS.

OVHcloud et DNSSEC

DNSSEC d’OVHcloud est le moyen idéal pour renforcer la sécurité de votre domaine. DNSSEC, ou Domain Name System Security Extensions, est une suite de spécifications qui ajoute une couche de sécurité supplémentaire au système de noms de domaine (DNS).

DNSSEC utilise des signatures numériques pour vérifier l'authenticité des données DNS. Lorsque l'ordinateur d'un utilisateur demande l'adresse IP de votre domaine, OVHcloud DNSSEC vérifie que la réponse provient d'un serveur DNS autorisé et que les données n'ont pas été falsifiées. Les avantages du DNSSEC d’OVHcloud sont les suivants :

• Sécurité renforcée Protégez votre site et ses utilisateurs des attaques DNS.  
• Confiance accrue : Montrez à vos clients que vous prenez leur sécurité au sérieux.
• Facile à activer : Activez DNSSEC d'un simple clic dans votre espace client OVHcloud.