GlobalSign Blog

Aussi connu sous le nom de DNS spoofing, l’empoisonnement du cache DNS est une attaque conçue pour localiser et ensuite exploiter les vulnérabilités qui existent dans un DNS, ou système de nom de domaine, afin d’attirer le trafic organique loin d’un serveur légitime et vers un faux.

En raison de l’empoisonnement du cache, de nombreux utilisateurs ont été trompés et ont dû donner leurs clés de portefeuille avant de transférer leurs crypto-monnaies dans un autre portefeuille numérique associé aux pirates. Au total, les pirates ont volé environ cent soixante mille dollars d’Ethereum avant que le problème ne soit identifié et stoppé.

Ce n’est qu’un exemple qui illustre la dangerosité de l’empoisonnement du cache DNS. Une autre raison pour laquelle ce type d’attaque est dangereux est qu’il peut facilement se propager d’un serveur DNS à l’autre.

Dans cet article, nous allons aborder le sujet du fonctionnement de l’empoisonnement du cache DNS, puis certaines solutions que vous pouvez appliquer pour l’arrêter si jamais cela vous arrive.

Chaque fois que votre navigateur contacte un nom de domaine, il doit d’abord contacter le serveur DNS.
Les serveurs de noms de domaine (DNS) sont l’équivalent d’un annuaire téléphonique sur Internet. Ils tiennent à jour un répertoire des noms de domaine et les traduisent en adresses de protocole Internet (IP).

Ceci est nécessaire car, bien que les noms de domaine soient faciles à retenir pour les gens, les ordinateurs ou les machines, accèdent aux sites Web en fonction des adresses IP.

Le serveur répondra alors avec au moins une adresse IP (mais généralement plus) pour que votre ordinateur puisse atteindre le nom de domaine. Une fois que votre ordinateur se connecte à l’adresse IP, le DNS convertit le nom de domaine en une adresse IP que votre ordinateur peut lire.

En ce moment, votre fournisseur d’accès à Internet exécute plusieurs serveurs DNS, dont chacun met en cache (ou enregistre) des informations provenant également d’autres serveurs. Le routeur Wi-Fi que vous avez chez vous agit essentiellement comme un serveur DNS également, car il met en cache les informations des serveurs de votre fournisseur d’accès.

Un cache DNS est « empoisonné » lorsque le serveur reçoit une entrée incorrecte. Pour mettre cela en perspective, cela peut se produire lorsqu’un pirate prend le contrôle d’un serveur DNS et modifie ensuite les informations qu’il contient.

Par exemple, ils peuvent modifier les informations de sorte que le serveur DNS indique aux utilisateurs de rechercher un certain site Web avec une adresse erronée. En d’autres termes, l’utilisateur entrerait le « bon » nom du site Web, mais serait ensuite envoyé vers une mauvaise adresse IP, et plus précisément vers un site Web de phishing.

Plus tôt, nous avons mentionné que l’une des raisons pour lesquelles l’empoisonnement du cache DNS est dangereux est la rapidité avec laquelle il peut se propager d’un serveur DNS à l’autre. Cela se produit si et quand plusieurs fournisseurs de services Internet reçoivent leurs informations DNS du serveur désormais contrôlé par les pirates, ce qui fait que l’entrée DNS « empoisonnée » se propage vers ces fournisseurs de services Internet pour être mise en cache.

À partir de là, elle peut se propager à d’autres serveurs DNS et routeurs domestiques ainsi qu’à des ordinateurs qui consulteront l’entrée DNS uniquement pour recevoir la mauvaise réponse, ce qui fait que de plus en plus de personnes sont victimes de l’empoisonnement. Ce n’est qu’une fois que le cache empoisonné aura été effacé sur chaque serveur DNS affecté que le problème sera résolu.

Comment se protéger contre l’empoisonnement du cache DNS

L’un des aspects délicats de l’empoisonnement du cache DNS est qu’il sera extrêmement difficile de déterminer si les réponses DNS que vous recevez sont légitimes ou non. Dans le cas de My Ethereum Wallet, ils avaient des moyens très limités pour empêcher la situation de se produire, et le problème a finalement été résolu par leurs fournisseurs de serveurs.

Heureusement, il y a encore un certain nombre de mesures que votre organisation peut prendre pour empêcher une telle attaque de vous arriver, donc vous ne devriez pas avoir l’impression que l’empoisonnement du cache DNS est impossible ou presque impossible à prévenir.

Par exemple, une chose que vous devriez faire est de faire configurer vos serveurs DNS par un professionnel de l’informatique pour qu’ils dépendent très peu des relations avec d’autres serveurs DNS. Cela rend beaucoup plus difficile pour un cybercriminel d’utiliser son serveur DNS pour corrompre ses cibles, ce qui signifie que votre propre serveur DNS est moins susceptible d’être corrompu, et donc que vous (et tout le monde dans votre organisation) êtes moins susceptibles d’être redirigés vers un site Web incorrect.

Vous pouvez en outre faire configurer vos serveurs DNS pour qu’ils ne stockent que les données qui sont liées spécifiquement au domaine demandé et pour limiter les réponses aux requêtes afin de ne fournir que les informations qui concernent également le domaine demandé. L’idée est que le serveur sera configuré de manière à ce que les services requis soient les seuls autorisés à fonctionner. En ayant des services supplémentaires qui ne sont pas nécessaires à l’exécution sur votre serveur DNS, vous augmentez considérablement les chances qu’une attaque se produise.

Vous devez également vous assurer que la version la plus récente du DNS est utilisée. En effet, les versions les plus récentes utiliseront des fonctions de sécurité telles que la randomisation des ports et les ID de transaction qui sont cryptographiquement sûrs pour aider à se prémunir contre les attaques par empoisonnement.

Une autre défense importante contre l’empoisonnement du cache DNS, comme MyEtherWallet l’a conseillé dans une annonce suite à l’attaque qui s’est produite en avril 2018, est de rechercher le nom de l’entreprise dans la barre d’adresse (donc dans leur cas ‘MyEtherWallet Inc’).
Cela signifie que le site utilise un certificat SSL/TLS EV. Cela permet d’éviter que les gens soient victimes d’une attaque par empoisonnement, car ils s’assureront de ne pas saisir leurs données personnelles sur le site d’un pirate. Toutes les entreprises n’utilisent pas EV sur leurs sites Web, ce n’est donc pas une mesure infaillible, mais cela peut être un outil utile pour essayer de déterminer si vous êtes sur le bon site.

Un certificat SSL/TLS est simplement un petit fichier de données installé sur un serveur Web qui peut lier les détails de votre organisation à une clé cryptographique. Après son installation, le certificat activera le protocole HTTPS pour permettre une connexion sécurisée et cryptée entre un navigateur et votre serveur web. Dans le cas des certificats SSL/TLS EV, certains de ces détails de l’organisation, y compris le nom de l’entreprise comme mentionné ci-dessus, seront présentés directement dans l’interface utilisateur du navigateur.

Conclusion

En résumé, l’empoisonnement du cache DNS est lorsqu’un attaquant exploite un serveur DNS pour envoyer une fausse réponse DNS qui sera mise en cache par les serveurs légitimes.

Par la suite, les utilisateurs qui visitent le domaine corrompu seront envoyés vers une nouvelle adresse IP que le pirate a sélectionnée, qui est généralement un site Web de phishing malveillant où les victimes peuvent être manipulées pour télécharger des logiciels malveillants ou soumettre des détails de connexion ou financiers.

Prendre les mesures ci-dessus aidera à défendre votre organisation contre les attaques par empoisonnement du cache DNS.

Note : Cet article de blog a été écrit par un contributeur invité dans le but d’offrir une plus grande variété de contenu à nos lecteurs. Les opinions exprimées dans cet article d’auteur invité sont uniquement celles du contributeur et ne reflètent pas nécessairement celles de GlobalSign.

Laisser un commentaire