Le détournement de Domain Name System (DNS, ou Système de nom de domaine en français) constitue une menace sérieuse pour votre système et peut avoir des répercussions très coûteuses. L'attaque permet à un individu tiers malveillant de prendre le contrôle des paramètres DNS et de rediriger les utilisateurs vers des sites Web frauduleux, ce qui peut affecter un grand nombre d'utilisateurs différents. Pour comprendre en détail en quoi consiste le détournement de DNS, il est important de savoir, dans les grandes lignes, ce qu'est un DNS et quel est son rôle.
En bref, le DNS est utilisé pour suivre, cataloguer et réguler les sites Internet du monde entier. Il permet aux utilisateurs d'accéder à des informations en convertissant un nom de domaine (comme kaspersky.com) en adresse IP dont le navigateur de l'utilisateur
a besoin pour charger des ressources Internet (comme des pages Web ou des articles de blog). Pour en savoir plus sur le fonctionnement du DNS, consultez notre article sur l'usurpation de DNS et l'empoisonnement du cache DNS.
Maintenant
que vous savez plus précisément en quoi consiste le DNS et quelle est sa fonction, intéressons-nous à présent au détournement de DNS.
- Qu'est-ce que le détournement de DNS ?
- Comment fonctionne le détournement DNS ?
- Comment identifier le détournement de DNS ?
- Comment se protéger du détournement de DNS ?
- Questions fréquemment posées à propos du détournement de DNS
Qu’est-ce que le détournement de DNS ?
Le détournement de Domain Name System (DNS, ou Système de nom de domaine en français), aussi connu sous le nom d'attaque par redirection de DNS concerne le cas où les requêtes DNS envoyées par le navigateur d'une victime ne sont pas correctement résolues, redirigeant l'utilisateur vers un site Web malveillant.
Alors que certaines attaques par usurpation de DNS, comme l'empoisonnement du cache DNS (où votre système enregistre une adresse IP frauduleuse dans votre mémoire cache locale), sont axées sur la modification des enregistrements DNS, le détournement de DNS consiste à modifier les paramètres DNS eux-mêmes, souvent en installant des logiciels malveillants sur l'ordinateur de la victime. Le pirate informatique peut ainsi prendre le contrôle de vos routeurs, intercepter les signaux DNS ou simplement pirater les communications DNS. Le détournement de DNS est en général l'un des types d'attaques qui génère le plus de perturbations dans les systèmes de noms de domaine (DNS) au sens large.
C'est un problème d'ampleur, tant pour les individus que pour les entreprises. Dans le cas d'un simple utilisateur, cette attaque permet aux pirates informatiques de mettre en œuvre une arnaque via phishing (qui consiste à présenter aux victimes de fausses versions de véritables sites Web, et de leur voler des données, comme les mots de passe, les identifiants de connexion et les informations relatives aux cartes de crédit). Cependant, dans le cas d'une page Web destinée à des consommateurs (appartenant à une entreprise, par exemple), ce type d'attaque permet aux cybercriminels de renvoyer les visiteurs du site Web de votre entreprise vers des pages frauduleuses qu'ils ont créées. Une fois les utilisateurs redirigés vers la page frauduleuse, les fausses pages Web peuvent enregistrer leurs informations de connexion et leurs données personnelles. Il peut potentiellement s'agir d'informations sur les employés, pertinentes pour le fonctionnement interne de votre entreprise, ou même de données financières sensibles. Ce type d'attaque permet même aux cybercriminels de collecter des informations à partir de courriers officiels entrants. En fin de compte, le détournement de DNS peut s'avérer très coûteux pour les données et leur confidentialité.
Il est intéressant de noter que de nombreux fournisseurs d'accès Internet (FAI) reconnus et de gouvernements utilisent un type de détournement de DNS pour s'approprier les requêtes DNS de leurs utilisateurs. Les FAI s'en servent pour recueillir des statistiques et proposer des publicités lorsque les utilisateurs consultent des sites inconnus. Pour ce faire, ils vous redirigent sur leur site Web, là où se trouvent les publicités, au lieu de vous envoyer un message d'erreur. Les gouvernements utilisent le détournement de DNS à des fins de censure et pour rediriger en toute sécurité leurs utilisateurs vers des domaines ou des pages web autorisés par le gouvernement.
Comment fonctionne le détournement DNS ?
En saisissant une adresse Web dans votre navigateur, ce dernier collecte des informations pour la page Web à partir de la mémoire cache de votre navigateur local (si vous avez consulté le site récemment) ou envoie une requête DNS au serveur de noms (généralement fourni par un fournisseur d'accès à Internet réputé). Le point de communication entre le navigateur qui envoie la requête DNS et la réponse du serveur de noms est le plus vulnérable aux attaques car il n'est pas crypté. C'est à ce moment que les pirates informatiques interceptent la requête et redirigent l'utilisateur vers l'un de leurs sites frauduleux afin de lui dérober ses données. Les cybercriminels recourent aujourd'hui à quatre différents types de détournement de DNS : "local", "par routeur", "rogue" et "homme du milieu".
Détournement local : il s'agit d'une technique qui consiste en l'installation par un pirate informatique d'un cheval de Troie sur votre système, qui s'en prend aux paramètres DNS locaux. Après l'attaque, le cybercriminel peut modifier ces paramètres locaux pour les diriger directement vers ses propres serveurs (par exemple, au lieu d'un serveur par défaut). Dès lors, les requêtes lancées par le navigateur de la victime seront envoyées sur les serveurs du pirate informatique, et ce dernier peut renvoyer les informations de son choix. Il peut également vous rediriger vers des serveurs Web malveillants.
Détournement par routeur : contrairement à ce que l'on peut imaginer, le détournement du routeur est généralement le premier point d'attaque pour de nombreux cybercriminels. En effet, de nombreux routeurs comportent des mots de passe par défaut ou des failles dans leur micrologiciel, que les pirates informatiques peuvent facilement repérer (beaucoup d'entreprises ne prennent pas le temps de personnalser les identifiants de connexion de leurs routeurs). Une fois que les pirates informatiques sont connectés, ils modifient les paramètres DNS et indiquent un serveur DNS qui leur convient (dont ils sont généralement propriétaires), de sorte que la conversion d'une adresse web en adresse IP s'effectue sous leur contrôle exclusif. Ainsi, les requêtes des navigateurs des utilisateurs sont envoyées sur des sites frauduleux. Ce problème est d'autant plus grave qu'il n'affecte pas seulement un utilisateur, mais tous ceux qui sont connectés au routeur infecté.
Détournement rogue : ce type d'attaque est beaucoup plus complexe que le détournement local, car il ne peut pas être contrôlé depuis l'appareil cible. Au lieu de cela, les pirates informatiques détournent le serveur de noms existant du FAI pour en modifier les entrées sélectionnées. De fait, et sans s'en méfier, les victimes à ce qui semble être le bon serveur DNS, qui a en réalité été infiltré par les cybercriminels. Ces derniers modifient ensuite les enregistrements DNS afin de rediriger les requêtes DNS de l'utilisateur vers un site Web malveillant. Grâce à l'intégration par les FAI de normes de cybersécurité plus strictes, cette attaque est beaucoup plus difficile à réaliser et donc beaucoup moins fréquente. Lorsque cette attaque se produit, elle peut potentiellement affecter un grand nombre d'utilisateurs, car tous ceux qui résolvent leurs requêtes via ce serveur peuvent en être victimes.
Attaque de l'homme du milieu : ce type d'attaque se concentre sur l'interception de vos communications avec le DNS. À l'aide d'outils spécialisés, le pirate informatique interrompt la communication entre un client et le serveur en raison du manque de cryptage présent dans de nombreuses requêtes DNS. Les utilisateurs demandeurs reçoivent alors une adresse IP de destination différente, qui les redirige vers un site Web malveillant. Ce type d'attaque peut également prendre la forme d'un empoisonnement du cache DNS à la fois sur votre appareil et sur le serveur DNS lui-même. Le résultat est à peu près le même que celui précédemment mentionné.
Comment identifier le détournement de DNS ?
Heureusement, il existe un certain nombre de moyens simples pour vérifier si votre DNS a été piraté. Tout d'abord, il est important de savoir que si certains des sites Web que vous utilisez régulièrement se chargent systématiquement plus lentement que d'habitude, ou que si vous recevez davantage de pop-ups publicitaires aléatoires (qui vous indiquent généralement que votre ordinateur est "infecté"), il se peut que vos DNS aient été piratés. Néanmoins, il est impossible de l'affirmer avec ces seuls symptômes. C'est pourquoi vous pouvez trouver ci-dessous une liste de tests pratiques que vous pouvez réaliser avec votre appareil :
Effectuez un test de "commande ping"
Les commandes ping sont le plus souvent utilisées afin de confirmer l'existence d'une adresse IP. Si votre navigateur envoie un signal ping vers une adresse IP inexistante sans jamais que le processus de résolution ne se termine, il y a de fortes chances pour que votre DNS ait été piraté. La manœuvre est possible sur les ordinateurs Windows ou Mac. Pour les ordinateurs Mac :
Ouvrez le Terminal et saisissez la commande suivante :
Ping kaspersky123456.com
si la commande indique "résolution impossible", cela signifie que votre DNS n'est pas infecté.
Si vous utilisez un ordinateur Windows, veuillez procéder comme suit :
Ouvrez l'Invite de commandes et saisissez la commande suivante :
ping kaspersky123456.com
si la commande indique "résolution impossible", cela signifie que votre DNS n'est pas infecté.
Vérifiez votre routeur ou utilisez un "vérificateur de routeur"
Ce prochain test est détaillé par de nombreux sites en ligne. Les services de vérification des routeurs numériques vérifient votre système à l'aide d'un résolveur DNS fiable et s'assurent que vous utilisez un serveur DNS autorisé. Vous pouvez également vous rendre sur la page d'administration de votre routeur en ligne et y consulter les paramètres DNS.
Utilisez WholsMyDNS.com
Ce service en ligne vous présente les serveurs DNS que vous utilisez et la société qui les possède. En général, votre navigateur utilise l'adresse IP des serveurs DNS obtenus grâce à votre fournisseur d'accès Internet. Si le nom de l'entreprise ne vous semble pas familier, cela peut vouloir dire que votre DNS a été détouné.
Si vous savez de source sûre que vos serveurs DNS ont été piratés, ou qu'une telle attaque s'est déjà produite par le passé, nous vous recommandons d'utiliser un autre service DNS public, comme les serveurs DNS publics de Google.
Comment se protéger du détournement de DNS ?
Quel que soit le type de détournement employé par les cybercriminels, il est toujours préférable d'éviter de se faire pirater en premier lieu. Heureusement, il existe un certain nombre de mesures que vous pouvez prendre pour renforcer la sécurité de votre DNS et de vos données dans leur ensemble.
Ne cliquez jamais sur un lien douteux ou inconnu : cette règle s'applique autant aux liens contenus dans des mails, que dans des SMS ou sur les réseaux sociaux. N'oubliez pas que les outils qui raccourcissent les URL peuvent aussi masquer les destinations de liens dangereux. Évitez donc de les utiliser autant que possible. Même si cela peut se révéler fastidieux, il est préférable d'opter pour une saisie manuelle des URL dans votre navigateur (mais seulement après vous être assuré qu'elle était fiable).
Utilisez un logiciel antivirus réputé : la meilleure pratique consiste à analyser régulièrement votre ordinateur à la recherche d'éventuels logiciels malveillants et à mettre à jour votre logiciel dès que vous y êtes invité. Le logiciel de sécurité de votre système vous aidera à détecter et à supprimer toute infection résultant d'un détournement de DNS, en particulier si vous avez été infecté par un cheval de Troie lors d'un détournement local. Sachant que les sites Web malveillants peuvent diffuser toutes sortes de programmes malveillants et de logiciels publicitaires, vous devez régulièrement rechercher les virus, les logiciels espions et les autres problèmes cachés.
Utilisez un réseau privé virtuel (VPN) : un VPN vous fournit un tunnel numérique crypté pour toutes les requêtes et pour le trafic effectués sur votre site Web. Les VPN les plus connus utilisent des serveurs DNS privés qui utilisent exclusivement des requêtes cryptées de bout en bout afin de protéger votre machine locale ainsi que ses serveurs DNS. Ils permettent que les serveurs reçoivent des requêtes qui ne peuvent pas être interrompues, ce qui réduit significativement la probabilité d'un détournement DNS de type "homme du milieu".
Changez le mot de passe du routeur (et le nom d'utilisateur) : cela peut paraître relativement évident, mais de nombreux utilisateurs ne prennent pas cette précaution. Comme nous l'avons mentionné précédemment, il est très facile de pirater les informations de connexion par défaut d'un routeur, car elles sont rarement modifiées. Lors de la création d'un nouveau mot de passe, nous recommandons toujours d'utiliser un mot de passe "fort" (constitué d'environ 10 à 12 caractères, et contenant un mélange de caractères spéciaux, de chiffres, ainsi que de lettres majuscules et minuscules).
Attention : si vous vous trouvez sur un site Web qui vous est inconnu et qu'il vous propose de cliquer sur différents pop-ups, pages de renvoi et onglets que vous n'avez jamais vus auparavant, vous devez quitter la page immédiatement. Connaître les signes avant coureurs d'une menace en ligne est le premier pas vers une meilleure cybersécurité.
Cependant, si vous êtes propriétaire d'un site Web, il existe plusieurs façons d'empêcher le détournement de votre DNS.
Restreignez l'accès au DNS : restreindre l'accès de votre DNS à seuls quelques membres de votre service informatique réduit les chances que de potentiels cybercriminels parviennent à leurrer votre équipe. Assurez-vous également que les quelques personnes choisies optent pour une double authentification lorsqu'elles accèdent au registre DNS.
Activez le verrouillage client : certains registres DNS prennent en charge le "verrouillage client", qui empêche toute modification des enregistrements DNS sans votre approbation. Nous vous suggérons de l'activer lorsque vous en avez la possibilité.
Utilisez un registre qui prend en charge les DNSSEC : les extensions de sécurité du système de noms de domaine (DNSSEC pour "Domain Name System Security Extensions") sont une sorte de label "certifié", qui permet de garantir l'authenticité d'une requête DNS. Ils rendent plus difficile pour les pirates informatique le fait d'intercepter les requêtes de votre DNS.
Ne restez pas sans défense face au détournement de DNS et à d'autres formes d'attaques de logiciels malveillants. Kaspersky Security Solutions vous permettent d'assurer la sécurité et la confidentialité de vos activités en ligne, et ce sur plusieurs appareils. Découvrez-en plus dès aujourd'hui.
Questions fréquemment posées à propos du détournement de DNS
Qu’est-ce que le détournement de DNS ?
Le détournement de Domain Name System (DNS, ou Système de nom de domaine en français), aussi connu sous le nom d'attaque par redirection de DNS concerne le cas où les requêtes DNS envoyées par le navigateur d'une victime sont interceptées et ne sont pas correctement résolues, redirigeant l'utilisateur vers un site Web malveillant. Le détournement du DNS peut s'effectuer en local à l'aide d'un logiciel malveillant (ou malware) qui agit sur le routeur, qui intercepte les données transférées ou qui agit via le serveur de noms.
Comment fonctionne le détournement DNS ?
Le détournement de DNS fonctionne en attaquant le point de communication établi entre votre navigateur qui envoie une requête DNS et la réponse du serveur de noms, car ce point n'est souvent pas crypté. Lors de l'interception, le pirate informatique peut vous rediriger vers l'un de ses sites Web malveillants afin de vous dérober vos données.
Comment puis-je mettre fin au détournement de DNS ?
Il existe différentes options permettant de mettre fin et de se protéger du détournement de DNS. Pour les particuliers, nous recommandons fortement de ne pas cliquer sur les liens douteux, ni de consulter les pages Web comprenant de nombreux pop-ups. Nous suggérons également d'opter pour des logiciels antivirus efficaces, de changer le nom d'utilisateur et le mot de passe du routeur, et enfin d'accéder à Internet à l'aide d'un VPN.
Produits connexes :
Kaspersky Security for Small Businesses
Kaspersky Security for Medium Businesses
Autres articles et liens connexes :
Conseils de sécurité pour les ordinateurs Mac et PC
Que sont l'usurpation de DNS et l'empoisonnement du cache DNS ?
Types de programmes malveillants et exemples de programmes malveillants