L’usurpation de nom de domaine
Qu’est-ce que l’usurpation de nom de domaine (DNS)
L’usurpation de nom de domaine (DNS) (alias empoisonnement du cache DNS) est une attaque dans laquelle des enregistrements DNS modifiés sont utilisés pour rediriger le trafic en ligne vers un site Web frauduleux qui ressemble à la destination prévue.
Une fois sur place, les utilisateurs sont invités à se connecter à (ce qu’ils croient être) leur compte, ce qui donne à l’auteur de l’attaque la possibilité de voler leurs identifiants d’accès et d’autres types d’informations sensibles. En outre, le site web malveillant est souvent utilisé pour installer des vers ou des virus sur l’ordinateur de l’utilisateur, donnant à l’auteur un accès à long terme à celui-ci et aux données qu’il stocke.
Les méthodes d’exécution d’une attaque par usurpation de DNS comprennent :
- Man in the middle (MITM) – L’interception des communications entre les utilisateurs et un serveur DNS afin d’acheminer les utilisateurs vers une adresse IP différente/malveillante.
- Compromission du serveur DNS – Le détournement direct d’un serveur DNS, qui est configuré pour renvoyer une adresse IP malveillante.
Ataque de compromission de serveur DNS.
Exemple d’empoisonnement de cache DNS
L’exemple suivant illustre une attaque d’empoisonnement de cache DNS, dans laquelle un attaquant (IP 192.168.3.300) intercepte un canal de communication entre un client (IP 192.168.1.100) et un ordinateur serveur appartenant au site web www.estores.com (IP 192.168.2.200).
Dans ce scénario, un outil (par ex, arpspoof) est utilisé pour tromper le client en lui faisant croire que l’IP du serveur est 192.168.3.300. Dans le même temps, on fait croire au serveur que l’IP du client est également 192.168.3.300.
Un tel scénario se déroule comme suit :
- L’attaquant utilise arpspoof pour émettre la commande : arpspoof 192.168.1.100 192.168.2.200. Cela modifie les adresses MAC dans la table ARP du serveur, lui faisant croire que l’ordinateur de l’attaquant appartient au client.
- L’attaquant utilise à nouveau arpspoof pour émettre la commande : arpspoof 192.168.2.200 192.168.1.100, ce qui indique au client que l’ordinateur de l’attaquant est le serveur.
- L’attaquant émet la commande Linux : echo 1> /proc/sys/net/ipv4/ip_forward. En conséquence, les paquets IP envoyés entre le client et le serveur sont redirigés vers l’ordinateur du malfaiteur.
- Le fichier hôte, 192.168.3.300 estores.com est créé sur l’ordinateur local de l’attaquant, ce qui mappe le site web www.estores.com à leur IP locale.
- Le malfaiteur configure un serveur web sur l’IP de l’ordinateur local et crée un faux site web fait pour ressembler à www.estores.com.
- Enfin, un outil (par ex, dnsspoof) est utilisé pour diriger toutes les requêtes DNS vers le fichier hôte local du malfaiteur. Le faux site Web s’affiche ainsi aux utilisateurs et, uniquement en interagissant avec le site, un logiciel malveillant est installé sur leurs ordinateurs.
Voyez comment Imperva DDoS Protection peut vous aider à lutter contre les attaques par usurpation de DNS.
Atténuation de l’usurpation du DNS à l’aide de la sécurité des serveurs de noms de domaine (DNSSEC)
Le DNS est un protocole non crypté, ce qui facilite l’interception du trafic par usurpation. Qui plus est, les serveurs DNS ne valident pas les adresses IP vers lesquelles ils redirigent le trafic.
DNSSEC est un protocole conçu pour sécuriser votre DNS en ajoutant des méthodes de vérification supplémentaires. Le protocole crée une signature cryptographique unique stockée à côté de vos autres enregistrements DNS, par exemple l’enregistrement A et le CNAME. Cette signature est ensuite utilisée par votre résolveur DNS pour authentifier une réponse DNS, garantissant ainsi que l’enregistrement n’a pas été altéré.
Bien que le DNSSEC puisse contribuer à la protection contre l’usurpation du DNS, il présente un certain nombre d’inconvénients potentiels, notamment :
- Manque de confidentialité des données – Le DNSSEC authentifie, mais ne code pas les réponses DNS. Par conséquent, les auteurs d’infractions sont toujours en mesure d’écouter le trafic et d’utiliser les données pour des attaques plus sophistiquées.
- Déploiement complexe – DNSSEC est souvent mal configuré, ce qui peut faire perdre aux serveurs les avantages de la sécurité ou même refuser complètement l’accès à un site Web.
- Dénombrement de la zone – DNSSEC utilise des enregistrements de ressources supplémentaires pour permettre la validation de la signature. L’un de ces enregistrements, NSEC, est capable de vérifier la non-existence d’une zone DNS. Il peut également être utilisé pour parcourir une zone DNS afin de rassembler tous les enregistrements DNS existants – une vulnérabilité appelée énumération de zone. Des versions plus récentes de NSEC, appelées NSEC3 et NSEC5, publient des enregistrements hachés de noms d’hôtes, ce qui permet de les chiffrer et d’empêcher l’énumération de zone.