DNS Spoofing : fonc­tion­ne­ment et pro­tec­tion

La ré­so­lu­tion de nom sur Internet offre dif­fé­rentes pos­si­bi­li­tés de ma­ni­pu­la­tion. Le DNS Spoofing est une forme d’attaque usurpant des adresses IP. Dans cet article, nous vous ex­pli­quons le fonc­tion­ne­ment et le but de ces attaques et nous vous pré­sen­tons les dif­fé­rentes variantes d’attaques et les méthodes pour se protéger contre le DNS Spoofing.

Le DNS, acronyme de « Domain Name System », est un système mondial per­met­tant de convertir les domaines en adresses IP. Le DNS fournit une adresse IP pour chaque nom de domaine. Ce processus est appelé « ré­so­lu­tion de nom ».

Pour que la ré­so­lu­tion de nom puisse fonc­tion­ner, l’adresse IP d’un serveur DNS doit être en­re­gis­trée sur chaque terminal. Le terminal adresse ses requêtes DNS à ce serveur qui procède à la ré­so­lu­tion de nom et renvoie une réponse. Si aucun serveur DNS n’est paramétré sur un terminal, le serveur du routeur local est au­to­ma­ti­que­ment utilisé.

Le terme Spoofing signifie « usur­pa­tion » ou « fal­si­fi­ca­tion ». Le DNS Spoofing désigne quant à lui dif­fé­rents scénarios dans lesquels une ma­ni­pu­la­tion est opérée sur la ré­so­lu­tion de nom DNS. L’adresse IP cor­res­pon­dant à un domaine est en par­ti­cu­lier faussée. Le terminal établit donc une connexion avec la mauvaise adresse IP et le trafic de données est redirigé vers le mauvais serveur. Voici un exemple :

Comme la ré­so­lu­tion de nom se déroule ma­jo­ri­tai­re­ment en arrière-plan, la victime n’a gé­né­ra­le­ment pas cons­cience de cette ma­ni­pu­la­tion. L’une des spé­ci­fi­ci­tés par­ti­cu­liè­re­ment perfides du DNS Spoofing réside dans le fait que le bon nom de domaine est indiqué dans le na­vi­ga­teur.

• d1. Le client (c’est-à-dire le na­vi­ga­teur du terminal) consulte tout d’abord l’adresse IP cor­res­pon­dant au nom d’hôte exemple.com depuis le serveur DNS.
• d2. Le client reçoit une réponse à la requête mais celle-ci contient une fausse adresse IP. La connexion avec le serveur légitime d’exemple.com n’est donc pas établie.
• h1. À la place, le client envoie la requête à l’hôte mal­veil­lant qui se trouve derrière la fausse adresse IP.
• h2. L’hôte mal­veil­lant fournit une page d’apparence légitime au client. L’attaque peut toutefois être iden­ti­fiée à l’absence de cer­ti­fi­cat de sécurité pour le domaine falsifié.
• (A, B, C) : dif­fé­rents points de départ ex­ploi­tables pour un DNS Spoofing : sur le client ou le routeur local, sur la connexion réseau, sur le serveur DNS.

Le DNS Spoofing est prin­ci­pa­le­ment utilisé par les hackers pour effectuer des attaques. Ces attaques ont ha­bi­tuel­le­ment pour objectif de sub­ti­li­ser des données sensibles des uti­li­sa­teurs. Des en­tre­prises légitimes ont pourtant recours au DNS Spoofing. Il est de notoriété publique que certains four­nis­seurs d’accès à Internet (ISP) ont utilisé le DNS Spoofing pour appliquer des mesures de censure ainsi qu’à des fins pu­bli­ci­taires.

Les hackers utilisent le DNS Spoofing pour réaliser des attaques de ha­me­çon­nage et de pharming. Leur but principal est de voler des données sensibles aux uti­li­sa­teurs. Dans le DNS Spoofing, le hacker fait croire à la victime qu’elle arrive sur un domaine légitime. La confiance de la victime dans le domaine usurpé est souvent utilisée pour infiltrer un programme mal­veil­lant sur son appareil. Ce programme mal­veil­lant est installé à son insu et infecte le système.

Sans en avoir cons­cience, la plupart des gens utilisent un serveur DNS de leur four­nis­seur d’accès à Internet. En temps normal, ce serveur est pré-paramétré dans le routeur local. Chaque requête DNS est ainsi soumise à un contrôle par le four­nis­seur d’accès à Internet.

Les four­nis­seurs d’accès à Internet peuvent par ex. manipuler leurs tableaux DNS à dessein afin d’appliquer des mesures de censure imposées par les États. Dans de nombreux pays, ces mesures empêchent les uti­li­sa­teurs d’accéder à des domaines de partage de fichier ou por­no­gra­phiques. Si l’uti­li­sa­teur essaie d’accéder à un domaine bloqué, il est redirigé vers une page d’aver­tis­se­ment. Ces blocages peuvent toutefois être con­tour­nés sans trop d’effort en utilisant un serveur DNS n’exerçant pas la même censure.

La même astuce – c’est-à-dire rediriger l’uti­li­sa­teur sur une autre page en cas d’accès à certaines pages – est également utilisée pour collecter des données uti­li­sa­teur à des fins pu­bli­ci­taires. Les four­nis­seurs d’accès à Internet utilisent ainsi le dé­tour­ne­ment de DNS pour rediriger l’uti­li­sa­teur vers une page spé­ci­fique en cas de saisie d’un domaine inexis­tant ou mal or­tho­gra­phié. Cette page affiche par exemple de la publicité ou crée des profils d’uti­li­sa­teur qui sont alors revendus.

Le DNS est une tech­no­lo­gie fon­da­men­tale : une ré­so­lu­tion de nom est effectuée à chaque fois qu’une connexion est établie. Le DNS Spoofing peut donc concerner n’importe quelle connexion sur le client. Que la victime accède à un site Internet ou envoie un Email, un hacker peut accéder aux données si l’adresse IP du serveur concerné a été usurpée.

Le DNS Spoofing comporte en par­ti­cu­lier les risques suivants :

• le vol de données con­fi­den­tielles : les attaques de Spear Phishing et de Pharming per­met­tent de voler des données sensibles comme des mots de passe. Ces données sont souvent utilisées pour pénétrer dans des systèmes in­for­ma­tiques ou pour réaliser des es­cro­que­ries.
• l’infection du système par un malware : la victime est incitée à installer des pro­grammes mal­veil­lants sur son système. Ces pro­grammes ouvrent la porte à d’autres attaques et à un es­pion­nage total par les hackers.
• la con­sul­ta­tion d’un profil d’uti­li­sa­teur complet : les données per­son­nelles col­lec­tées dans ce cadre sont alors revendues ou utilisées pour des attaques de Spear Phishing.
• le danger d’une menace per­sis­tante : la com­mu­ni­ca­tion est com­pro­mise dès lors qu’un serveur DNS mal­veil­lant est paramétré sur le système. Même les réponses DNS tem­po­rai­re­ment fal­si­fiées demeurent dans le cache et peuvent causer des dommages sur la durée.

Voici un exemple concret : dans le cadre de la pandémie de COVID19, une vague d’attaques de DNS Spoofing s’est déroulée au printemps 2020. Elle im­pli­quait des attaques de dé­tour­ne­ment de routeurs dans les­quelles une adresse IP mal­veil­lante était saisie sur le routeur pour le serveur DNS. Cette mo­di­fi­ca­tion était possible grâce à un accès ad­mi­nis­tra­teur non sécurisé sur le routeur. La victime voyait alors sou­dai­ne­ment un aver­tis­se­ment semblant provenir de l’Or­ga­ni­sa­tion mondiale de la santé qui lui demandait d’installer ra­pi­de­ment une ap­pli­ca­tion d’in­for­ma­tion sur le COVID19. En réalité, le logiciel était un cheval de Troie. Lorsqu’une victime ins­tal­lait le cheval de Troie, celui-ci explorait le système local et tentait d’accéder à des données sensibles. L’objectif était ici de créer un profil complet qui pourrait être utilisé dans de futures attaques de Spear Phishing contre la victime. Les données attaquées étaient les suivantes :

• les cookies (na­vi­ga­teur)
• l’his­to­rique de na­vi­ga­tion
• les données de paiement (na­vi­ga­teur)
• les données d’accès en­re­gis­trées (na­vi­ga­teur)
• les données de for­mu­laires en­re­gis­trées (na­vi­ga­teur)
• les por­te­feuilles de cryp­to­mon­naies
• l’ensemble des fichiers texte de l’appareil
• les données bancaires pour les au­then­ti­fi­ca­tions à double facteur (2FA)

Les trois variantes d’attaques suivantes sont basées sur le schéma présenté au début de cet article (A–C).

Dans cette variante d’attaque de DNS Spoofing, une ma­ni­pu­la­tion mal­veil­lante est opérée sur l’appareil ou le routeur local. Dans un premier temps, tout semble normal à la victime : l’appareil se connecte nor­ma­le­ment au serveur DNS. Cependant, le client reçoit des adresses mal­veil­lantes pour les noms d’hôte demandés.

Dans de telles attaques, la menace persiste jusqu’à ce que la ma­ni­pu­la­tion ait été supprimée. Toutefois, le hacker a besoin d’un vecteur d’attaque pour réaliser cette ma­ni­pu­la­tion. Il peut s’agir d’un facteur technique, par exemple d’un accès ad­mi­nis­tra­teur ouvert, d’un mot de passe faible ou autre. Cependant, le hacker peut également tenter de con­vaincre la victime de procéder per­son­nel­le­ment à la mo­di­fi­ca­tion en recourant à l’in­gé­nie­rie sociale.

Dans cette attaque de DNS Spoofing connue sous le nom de « Local Hijack », l’adresse IP du serveur DNS est définie sur une valeur mal­veil­lante dans les pa­ra­mètres réseau de l’appareil local.

Cette mo­di­fi­ca­tion peut être iden­ti­fiée par la victime et est fa­ci­le­ment rec­ti­fiable. Cependant, cette ma­ni­pu­la­tion est souvent utilisée en com­bi­nai­son avec un programme mal­veil­lant. Ce dernier rétablit la valeur mal­veil­lante en cas de mo­di­fi­ca­tion par la victime.

La plupart des systèmes d’ex­ploi­ta­tion utilisent un fichier hosts pour permettre la ré­so­lu­tion de nom de certains domaines sur le système local. Si une entrée mal­veil­lante est placée dans ce fichier, le trafic des données est redirigé vers un serveur sous le contrôle du hacker.

Cette ma­ni­pu­la­tion est per­ma­nente mais peut être iden­ti­fiée fa­ci­le­ment par une victime com­pé­tente. Il suffit d’une simple mo­di­fi­ca­tion du fichier hosts pour corriger le problème.

Par défaut, l’adresse IP pa­ra­mé­trée sur le routeur local est celle d’un serveur DNS du four­nis­seur d’accès à Internet. Dans le cas d’un « dé­tour­ne­ment de routeur », elle est remplacée par une valeur mal­veil­lante. L’attaque menace l’in­té­gra­lité du trafic de données passant par le routeur. Que ce soit à la maison ou au bureau, plusieurs appareils utilisent gé­né­ra­le­ment le routeur pour établir une connexion. Plusieurs personnes peuvent donc être victimes de cette attaque.

De nombreux uti­li­sa­teurs n’ont pas cons­cience qu’ils peuvent con­fi­gu­rer per­son­nel­le­ment leur routeur. Il n’est donc pas rare que ce type d’attaque ne soit pas identifié. En cas de problème survenant à la suite d’une telle attaque, les victimes soup­çon­nent souvent leur appareil avant le routeur. Il convient donc d’inclure le routeur dans les sources possibles en cas de per­tur­ba­tions étranges.

Cette variante d’attaque de DNS Spoofing est une « attaque de l’homme du milieu ». Le hacker se fait passer pour le serveur DNS de la victime et lui transmet une réponse mal­veil­lante. Cette attaque est efficace puisque le trafic DNS se déroule via le User Datagram Protocol (UDP). La victime n’a aucun moyen de garantir l’au­then­ti­cité de la réponse DNS.

D’autres formes d’attaques telles que l’ARP Spoofing et l’usur­pa­tion d’adresse MAC peuvent être utilisées comme points d’entrée dans le réseau local. L’uti­li­sa­tion de tech­no­lo­gies de chif­fre­ment offre une pro­tec­tion contre de nom­breuses attaques de l’homme du milieu.

Cette variante d’attaque de DNS Spoofing est dirigée contre un serveur DNS légitime et peut concerner de très nombreux uti­li­sa­teurs. Il s’agit d’une attaque difficile à réaliser puisqu’il est gé­né­ra­le­ment né­ces­saire de con­tour­ner plusieurs mé­ca­nismes de pro­tec­tion pour craquer le serveur.

Les serveurs du DNS sont organisés de façon hié­rar­chique et com­mu­ni­quent entre eux. Un hacker peut utiliser l’usur­pa­tion d’adresse IP pour se faire passer pour l’un de ces serveurs. Le hacker convainc un serveur d’accepter une adresse IP erronée pour un domaine. Le serveur en­re­gistre l’entrée mal­veil­lante dans le cache qui est alors « em­poi­sonné ».

À chaque fois qu’une requête est adressée au serveur après l’em­poi­son­ne­ment du cache, l’entrée mal­veil­lante est transmise aux victimes. La menace reste active jusqu’à ce que l’entrée ait été retirée du cache. L’extension DNSSEC est un mécanisme de pro­tec­tion côté serveur qui permet de sécuriser la com­mu­ni­ca­tion du serveur au sein du DNS.

Cette forme d’attaque également appelée « Rogue Hijack » est l’attaque DNS la plus com­pli­quée à réaliser. Dans ce cadre, un hacker place un serveur DNS légitime sous son contrôle. Une fois compromis, même le chif­fre­ment DNS le plus moderne n’offrira aucune pro­tec­tion. Un chif­fre­ment du contenu peut néanmoins permettre à la victime d’iden­ti­fier l’attaque.

Comme vous pouvez le constater, le DNS Spoofing re­pré­sente un danger à prendre au sérieux. Fort heu­reu­se­ment, il existe toute une série de mesures offrant une pro­tec­tion efficace contre le DNS Spoofing.

De façon générale, les pro­cé­dures de chif­fre­ment offrent deux avantages es­sen­tiels :

1. Les données sont protégées contre un accès par des tiers non autorisés.
2. L’au­then­ti­cité de l’autre in­ter­lo­cu­teur de la com­mu­ni­ca­tion est garantie.

Le second point est tout par­ti­cu­liè­re­ment critique dans la lutte contre le DNS Spoofing : si le hacker se fait passer pour un hôte légitime, cela en­traî­nera une erreur de cer­ti­fi­cat côté uti­li­sa­teur dévoilant ainsi toute tentative d’es­cro­que­rie.

Pour disposer d’une pro­tec­tion de base, il est né­ces­saire de sécuriser autant de con­nexions que possible à l’aide de la méthode fré­quem­ment utilisée du chif­fre­ment du transport. Dans votre na­vi­ga­teur, vous devriez avant tout pri­vi­lé­gier les con­nexions à des sites Internet via le HTTPS. Le plugin de na­vi­ga­teur HTTPS Eve­ryw­here est très apprécié et garantit la connexion à des sites Internet four­nis­sant aussi bien des contenus via le HTTP que le HTTPS. D’autre part, vous devriez veiller à ce que les con­nexions pa­ra­mé­trées dans votre programme de mes­sa­ge­rie (IMAP, POP3 et SMTP) utilisent des pro­to­coles sécurisés comme TLS et SSL.

Si vos con­nexions sont protégées par un chif­fre­ment du transport, vous devriez au minimum pouvoir iden­ti­fier les attaques de DNS Spoofing : comme l’hôte mal­veil­lant ne dispose pas du cer­ti­fi­cat de sécurité de l’hôte véritable, votre na­vi­ga­teur et votre programme de mes­sa­ge­rie vous en aver­tis­sent lors de l’éta­blis­se­ment de la connexion. Vous avez ainsi l’op­por­tu­nité d’in­ter­rompre la connexion et de prendre d’autres mesures de pro­tec­tion.

Même si un chif­fre­ment du transport protège la trans­mis­sion de vos données, la connexion au serveur DNS peut toujours être attaquée. Il s’agit du maillon faible de la chaîne. Toutefois, il existe des approches dédiées au chif­fre­ment des requêtes DNS côté uti­li­sa­teur. On peut prin­ci­pa­le­ment nommer DNSCrypt, DNS over HTTPS (DoH) et DNS over TLS (DoT). Ces tech­no­lo­gies offrent toutes une pro­tec­tion contre les dan­ge­reuses attaques de l’homme du milieu. Cependant, aucune de ces trois approches n’est déjà intégrée dans les systèmes d’ex­ploi­ta­tion répandus. Par ailleurs, le serveur DNS doit également supporter la tech­no­lo­gie de sécurité cor­res­pon­dante pour que le chif­fre­ment du DNS fonc­tionne.

Outre le chif­fre­ment du transport et la sé­cu­ri­sa­tion de la connexion au serveur DNS, l’uti­li­sa­tion d’un réseau privé virtuel (VPN) peut également con­tri­buer à se protéger contre le DNS Spoofing. En cas d’uti­li­sa­tion d’un VPN, l’ensemble des con­nexions sont dirigées à travers un tunnel chiffré. Sachez toutefois que l’adresse IP d’un serveur DNS peut être ren­seig­née dans la plupart des pro­grammes de VPN. S’il s’agit d’une adresse mal­veil­lante, la pro­tec­tion contre le DNS Spoofing offerte par le VPN tombe à l’eau.

Si vous ne souhaitez pas passer du temps à choisir un four­nis­seur de VPN, vous pouvez utiliser gra­tui­te­ment l’ap­pli­ca­tion WARP de Cloud­flare. Cette ap­pli­ca­tion vous offre des fonc­tion­na­li­tés de VPN et un chif­fre­ment DNS via le résolveur DNS public de Cloud­flare 1.1.1.1 : de plus amples in­for­ma­tions à ce sujet sont dis­po­nibles plus bas.

Le gain de sécurité s’ac­com­pagne d’une interface uti­li­sa­teur à l’uti­li­sa­tion enfantine. Jusqu’à présent, l’ap­pli­ca­tion est uni­que­ment dis­po­nible sur les appareils mobiles, mais elle fonc­tion­nera à l’avenir sur les PC fixes Windows et macOS.

L’une des mesures les plus efficaces pour se protéger contre le DNS Spoofing est l’uti­li­sa­tion d’un résolveur DNS public. Sa mise en place est simple au point que n’importe quel uti­li­sa­teur peut con­fi­gu­rer son propre appareil. Pour ce faire, vous devez sim­ple­ment modifier le serveur DNS en­re­gis­tré sur votre système. On peut citer comme exemple le résolveur de l’or­ga­ni­sa­tion à but non lucratif Quad9 qui porte le même nom.

L’uti­li­sa­tion d’un résolveur DNS public comporte les avantages suivants :

• Une vitesse élevée des réponses DNS : les grands ré­sol­veurs DNS ex­ploi­tent des douzaines de serveurs dans le monde entier. Grâce à des routages Anycast, le serveur situé le plus proche géo­gra­phi­que­ment est toujours utilisé pour la ré­so­lu­tion de nom ce qui permet des temps de réponse courts.
• Un haut degré de pro­tec­tion des données et d’anonymat : de nombreux four­nis­seurs d’accès à Internet revendent les données utilisées dans le cadre du trafic DNS à leurs clients. Ha­bi­tuel­le­ment, les ré­sol­veurs publics en­re­gistrent uni­que­ment un minimum de données voire aucune donnée et offre ainsi un haut degré de pro­tec­tion des données et d’anonymat.
• L’absence de mesures de censure : les mesures de censure imposées par les États sont uni­que­ment ap­pli­cables au sein des fron­tières na­tio­nales. Les four­nis­seurs d’accès à Internet opèrent ha­bi­tuel­le­ment dans les pays de leur client et sont ainsi tenus de respecter la censure dans l’État. Au contraire, un résolveur implanté à l’étranger peut proposer ses services dans le monde entier sans tenir compte de la censure imposée par un État.
• Le support de standards de sécurité modernes : les plus grands ré­sol­veurs DNS publics sont ex­clu­si­ve­ment spé­cia­li­sés dans la réponse aux requêtes DNS. Par con­sé­quent, ils sont souvent des pionniers en ce qui concerne l’uti­li­sa­tion des standards de sécurité modernes tels que DNSSEC, DoH, DoT et DNSCrypt.
• Un blocage des domaines mal­veil­lants : l’uti­li­sa­tion d’un résolveur DNS public peut également con­tri­buer à la pro­tec­tion contre les pro­grammes mal­veil­lants et l’ha­me­çon­nage. Les domaines connus pour être mal­veil­lants sont inscrits sur des listes noires. En cas de tentative d’accès à ces domaines, l’uti­li­sa­teur est redirigé vers une page d’aver­tis­se­ment.

Le tableau suivant vous offre une vue d’ensemble des ré­sol­veurs DNS publics appréciés. Par con­ven­tion, chaque résolveur est configuré de façon re­don­dante via deux adresses IP. Par con­sé­quent, si le premier des serveurs n’est pas ac­ces­sible, le second est utilisé. Certains ré­sol­veurs proposent d’autres adresses IP via les fonc­tion­na­li­tés sup­plé­men­taires, pouvant par ex. être activées pour la pro­tec­tion des mineurs.