Qu’est-ce que le DNS Spoofing ?

Le DNS Spoofing (Domain Name Service Spoofing ou usurpation de DNS en français) consiste à empoisonner les entrées d’un serveur DNS pour rediriger un utilisateur ciblé vers un site Web malveillant contrôlé par l’attaquant.

L’attaque DNS se produit généralement dans un environnement Wi-Fi public, mais peut se produire dans n’importe quelle situation où l’attaquant peut empoisonner les tables ARP (Address Resolution Protocol) et forcer les appareils des utilisateurs ciblés à utiliser la machine contrôlée par l’attaquant comme le serveur d’un site Web spécifique.

Il s’agit de la première étape d’une attaque de phishing sophistiquée sur le Wi-Fi public, qui peut également inciter les utilisateurs à installer des malwares sur leurs appareils ou à divulguer des informations sensibles.

La plupart des attaquants utilisent des outils préfabriqués pour réaliser l’usurpation de DNS. Certains acteurs de la menace créent leurs propres outils, mais c’est inutile pour ce type d’attaque. Tout endroit doté d’un réseau Wi-Fi public gratuit est une cible principale, mais l’attaque peut être réalisée dans n’importe quel endroit où se trouvent des appareils connectés.

Un réseau domestique ou professionnel pourrait être vulnérable à cette attaque, mais ces lieux disposent généralement d’une surveillance qui permet de détecter les activités malveillantes. Le Wi-Fi public est souvent mal configuré et mal sécurisé, ce qui donne à un acteur de la menace plus d’opportunités pour effectuer une attaque de DNS Spoofing. C’est pourquoi il est recommandé de toujours penser à la sécurité du Wi-Fi, que ce soit à la maison ou en public.

Lorsque l’attaquant trouve un bon Wi-Fi public, les étapes de base de l’empoisonnement DNS sont les suivantes :

• Utiliser arpspoof pour tromper la machine d’un utilisateur ciblé et la faire pointer vers la machine de l’attaquant lorsque l’utilisateur tape une adresse de domaine dans son navigateur. Cette étape empoisonne essentiellement le cache de résolution de l’ordinateur de l’utilisateur.
• Envoyer une autre commande arpspoof pour faire croire au serveur web du domaine que l’adresse IP du client est celle de la machine de l’attaquant.
• Créer une entrée dans le fichier HOST pointant l’IP de la machine de l’attaquant vers le site Web ciblé. Cette entrée HOST est utilisée lorsque les utilisateurs demandent le nom de domaine.
• Configurer un site de phishing ayant la même apparence que le “vrai” site Web sur un ordinateur local malveillant.
• Recueillir des données auprès de victimes ciblées sur le réseau en les incitant à s’authentifier ou à saisir leurs informations dans les pages du site Web usurpé.

Le terme “spoofing” dans l’attaque signifie que l’acteur de la menace utilise un site malveillant qui ressemble au site Web officiel que connaît un utilisateur. Le DNS étant un élément essentiel de la communication sur Internet, l’empoisonnement des entrées offre à un attaquant un scénario de phishing parfait pour collecter des données sensibles. L’acteur de la menace peut recueillir des mots de passe, des informations bancaires, des numéros de carte de crédit, des informations de contact et des données géographiques.

Comme l’utilisateur pense que le site Web est officiel, l’attaquant peut mener à bien une campagne de phishing. Le site usurpé comporte des éléments reconnaissables par l’utilisateur et, idéalement, ne comporte pas de red flags indiquant que le site est faux. Des red flags involontaires peuvent être présents sur un site usurpé, mais les utilisateurs les remarquent rarement, ce qui fait de l’usurpation un moyen efficace de voler des données privées.

Parce que les utilisateurs sont souvent victimes de phishing lors d’une attaque de DNS Spoofing, cette technique constitue une menace pour la confidentialité des données. Le site usurpé dépend des objectifs de l’attaquant. Par exemple, si un attaquant veut voler des informations bancaires, la première étape consiste à trouver un site bancaire populaire, à télécharger le code et les fichiers de style, et à le charger sur la machine malveillante utilisée pour détourner les connexions.

Les personnes qui utilisent le site légitime entrent le domaine bancaire dans leur navigateur, mais ouvrent le site web malveillant à la place. La plupart des attaquants testent et vérifient que le site usurpé est bien fait, mais il arrive parfois que quelques erreurs mineures trahissent le site usurpé.

Par exemple, le site Web malveillant n’a généralement pas de certificat de chiffrement installé, de sorte que la connexion se fait en clair. Une connexion non cryptée est un signal d’alarme clair indiquant que le site hébergé n’est pas un site bancaire. Les navigateurs avertissent les utilisateurs qu’une connexion n’est pas chiffrée, mais beaucoup d’entre eux ignorent cet avertissement et saisissent quand même leur nom d’utilisateur et leur mot de passe.

Une fois que l’utilisateur a accédé au site Web usurpé, toutes les informations saisies sur le site, y compris le mot de passe, le numéro de sécurité sociale et les coordonnées privées, sont envoyées à l’attaquant. Avec suffisamment d’informations volées, l’attaquant peut ouvrir d’autres comptes au nom de la victime ciblée ou s’authentifier sur des comptes légitimes pour voler d’autres informations ou de l’argent.

Tout utilisateur qui accède à l’internet à partir d’un réseau Wi-Fi public est vulnérable au DNS Spoofing. Pour se protéger contre le DNS Spoofing, les fournisseurs d’accès à Internet peuvent utiliser la sécurité DNSSEC (DNS security). Lorsqu’un propriétaire de domaine configure des entrées DNS, DNSSEC ajoute une signature cryptographique aux entrées requises par les résolveurs avant qu’ils n’acceptent les consultations DNS comme authentiques.

Le DNS standard n’est pas chiffré et n’est pas programmé pour garantir que les modifications et les consultations résolues proviennent de serveurs et d’utilisateurs légitimes. Le DNSSEC ajoute un composant de signature au processus qui vérifie les mises à jour et garantit le blocage de l’usurpation du DNS. Le DNSSEC a gagné en popularité récemment, car l’usurpation de noms de domaine menace de porter atteinte à la confidentialité des données des utilisateurs sur tout réseau Wi-Fi public.

Le DNS Poisoning et Spoofing sont similaires, mais ils présentent des caractéristiques distinctes. Ils incitent tous deux les utilisateurs à divulguer des données sensibles et peuvent conduire un utilisateur ciblé à installer un logiciel malveillant.

Le Spoofing (usurpation) et Poisoning (empoisonnement) du DNS représentent tous deux un risque pour la confidentialité des données de l’utilisateur et la sécurité de la connexion à un site Web, car les utilisateurs communiquent avec les serveurs sur un réseau Wi-Fi public.

L’empoisonnement du cache DNS modifie les entrées des résolveurs ou des serveurs DNS où sont stockées les adresses IP. Cela signifie que tout utilisateur, quel que soit l’endroit où il se trouve sur Internet, sera redirigé vers un site contrôlé par un attaquant malveillant s’il utilise les entrées du serveur DNS empoisonné. L’empoisonnement peut affecter les utilisateurs du monde entier en fonction du serveur empoisonné.

Le DNS Spoofing est un terme plus large qui décrit les attaques sur les enregistrements DNS. Toute attaque qui modifie les entrées DNS et oblige les utilisateurs à accéder à un site contrôlé par l’attaquant est considérée comme du Spoofing, y compris l’empoisonnement des entrées.

L’usurpation d’identité peut conduire à des attaques plus directes sur un réseau local, où un attaquant peut empoisonner les enregistrements DNS de machines vulnérables et voler les données d’utilisateurs professionnels ou privés.