Le DNS, Domain Name System, est un système mondial qui traduit les noms de domaine Internet en adresse IP. Ce processus est appelé « résolution de nom » qui est exploité par les cyberattaquants pour mener des attaques comme le DNS Spoofing.
Qu'est-ce le DNS Spoofing ?
L’usurpation d’un serveur de nom de domaine est une cyber-attaque DNS. Il fait croire à votre ordinateur que ce dernier consulte le bon site web, ce qui n’est pas le cas puisqu’un attaquant recourt à l’empoisonnement du cache DNS pour détourner le trafic Internet vers une cible qu'il contrôle et peut ainsi dérober vos identifiants ou vos données personnelles.
Mode de Fonctionnement
Le DNS Spoofing est principalement utilisé par les hackers pour subtiliser des données sensibles des utilisateurs. Les hackers utilisent un code pour empoisonner le cache DNS qui se présente souvent dans les urls envoyées par le biais de courriers indésirables. Dans ces emails, les cybercriminels tentent de faire peur aux utilisateurs. Une fois son ordinateur infecté, l'utilisateur est redirigé vers de faux sites Web de même apparence que les véritables sites et s'expose alors à des risques d'infection, tels que logiciels espions, enregistreurs de frappe ou vers. Ensuite, le hacker n’a plus qu’à exécuter une attaque de phishing, ou une attaque pour voler les données ou même injecter un malware sur le système de sa victime.
Comment reconnaître un DNS Spoofing ?
Mais alors, comment le détecter ? Vous devez surveiller vos serveurs DNS pour repérer les indices d’une attaque. Les êtres humains ne possèdent pas la puissance de calcul nécessaire pour suivre un nombre de requêtes DNS suffisant. Vous devez donc vous appuyer sur des outils d’analyse de la sécurité des données pour surveiller votre serveur DNS et distinguer les comportements normaux des attaques comme :
- une hausse soudaine de l’activité DNS d’une seule source concernant un seul domaine est révélatrice d’une potentielle attaque
- une hausse de l’activité DNS provenant d’une seule source qui interroge votre serveur DNS sur plusieurs noms de domaine sans récursion témoigne de la recherche d’une entrée à corrompre à des fins d’empoisonnement
En plus de surveiller votre serveur DNS, gardez l’œil sur les événements Active Directory et le comportement du système de fichiers afin de détecter toute activité anormale. Mieux encore, utilisez des outils d’analyse pour associer l’activité entre ces trois vecteurs et enrichir ainsi votre stratégie de cybersécurité d’un contexte précieux.
Comment se protéger ?
Comme vous pouvez le constater, le DNS Spoofing représente un danger à prendre au sérieux. Fort heureusement, il existe toute une série de mesures offrant une protection efficace contre le DNS Spoofing:
- activation du DNSSEC est un bon moyen d'éviter l'usurpation DNS
- virgilance sur le web
- s'abstenir de cliquer sur un lien qui n'est pas familier
- exécution régulière des analyses anti-programmes malveillantes sur votre ordinateur
- limiter les requêtes récursives pour vous prémunir des attaques d’empoisonnement ciblées
- stocker uniquement des données liées aux domaines demandés.
- utilisation du protocole HTTPS
- vérifier que son résolveur DNS adopte les supports de sécurité modernes et un blocage des domaines malveillants
La Rédaction d'Africa Cybersecurity Mag
