Grâce au Domain Name System (DNS), les in­ter­nautes peuvent taper tout sim­ple­ment une adresse de site dans la barre de na­vi­ga­tion pour être dirigés vers le site de leur choix sans devoir taper une adresse IP numérique. La requête DNS est en effet transmise à un serveur DNS qui répond au moyen de la véritable adresse IP. La ré­so­lu­tion de noms fonc­tionne sur le principe des services de ren­seig­ne­ments té­lé­pho­niques, mais de manière en­tiè­re­ment au­to­ma­ti­sée. À chaque nom de site cor­res­pond un numéro.

Ce système est essentiel pour pouvoir surfer tous les jours sur la Toile. Il est d’autant plus effarant de savoir qu’il est possible de détourner le DNS à des fins mal­veil­lantes. Des cy­ber­cri­mi­nels peuvent repérer les requêtes de votre na­vi­ga­teur Internet et répondre avec des éléments frau­du­leux. L’in­ter­naute se retrouve dans ce cas sur un autre site, vrai­sem­bla­ble­ment mal­veil­lant, sur lequel son or­di­na­teur sera infecté par des virus ou tout autre malware, ou qui lui prélèvera des données per­son­nelles sensibles. Le DNS Hijacking peut ainsi provoquer de sérieux dommages.

Comment cela fonc­tionne-t-il ? Et comment se protéger ? Nous vous apportons quelques éléments de réponse.

DNS gratuit
Réduisez le temps de char­ge­ment de vos pages Web
  • Ré­so­lu­tion de domaine rapide pour un site Web toujours dis­po­nible
  • Pro­tec­tion accrue contre les pannes et les temps d'arrêt
  • Pas de transfert de domaine né­ces­saire

Comment fonc­tionne le DNS Hijacking ?

Lorsque vous tapez une adresse Internet dans la barre d’adresse de votre na­vi­ga­teur, celui-ci va commencer par émettre une requête DNS. Pour les pages que vous avez con­sul­tées récemment, l’in­for­ma­tion se trouve encore dans le cache du système. Dans ce cas, le na­vi­ga­teur n’a pas besoin d’envoyer sa requête sur Internet. Dans tous les autres cas, votre or­di­na­teur ou téléphone portable doit entrer en relation avec un serveur de noms. Ces serveurs sont gé­né­ra­le­ment mis à dis­po­si­tion par les four­nis­seurs d’accès à Internet. Certains uti­li­sa­teurs ont recours aux services de Google ou se tournent vers d’autres services DNS publics.

Image: Schéma d’un DNS Hijacking
Dans le cas d’un DNS Hijacking, la ré­so­lu­tion de noms se fait sur un serveur de noms qui est contrôlé par des cy­ber­cri­mi­nels.

La com­mu­ni­ca­tion avec le serveur est l’élément critique, car l’échange entre requête et réponse se fait sans le moindre chif­fre­ment, et repose sur la confiance au système. Dans de telles con­di­tions, les hackers ont plusieurs pos­si­bi­li­tés de détourner les requêtes dans le but de rediriger les in­ter­nautes.

Piratage de routeur

Les cy­ber­cri­mi­nels attaquent parfois leurs victimes déjà au niveau de leur routeur. Pour ce faire, ils ex­ploi­tent le fait que peu d’uti­li­sa­teurs per­son­na­li­sent les mots de passe de leur routeur. Dans de nombreux foyers, on utilise les routeurs avec l’iden­ti­fiant et le mot de passe qui ont été livrés avec l’appareil. Plusieurs fa­bri­cants ne se donnent pas la peine de doter chaque routeur d’un iden­ti­fiant différent, et les hackers en profitent pour s’in­tro­duire dans le routeur avec les iden­ti­fiants par défaut.

Une fois dans le routeur, ils peuvent modifier les pa­ra­mètres DNS et y ren­seig­ner un serveur DNS de leur choix. Ils y ins­cri­vent alors leur propre serveur. La ré­so­lu­tion de noms – c’est-à-dire la con­ver­sion d’une adresse Internet en une adresse IP – est alors en­tiè­re­ment gérée par des criminels. Chaque adresse que vous consultez pourra dès lors être redirigée vers une page frau­du­leuse.

Le piratage local

Cette forme de piratage affecte di­rec­te­ment l’or­di­na­teur de l’uti­li­sa­teur. Au moyen d’un cheval de Troie, le hacker va accéder di­rec­te­ment aux pa­ra­mètres DNS de l’or­di­na­teur. Windows permet par exemple d’en­re­gis­trer di­rec­te­ment votre serveur DNS dans vos pré­fé­rences. Les hackers ex­ploi­tent alors cette fonction et y ins­cri­vent leur propre serveur. Théo­ri­que­ment, la victime devrait le voir, mais qui d’entre nous vérifie ré­gu­liè­re­ment les pa­ra­mètres DNS de son système d’ex­ploi­ta­tion ? Cette technique a aussi pour effet l’envoi par or­di­na­teur de requêtes en direction d’un serveur mal­veil­lant. Chaque adresse consultée peut alors être redirigée autrement.

Rouge Hijack

Bien que les deux autres types de piratage se trouvent dans la zone d’influence de l’uti­li­sa­teur, ses or­di­na­teurs ne seront pas di­rec­te­ment impactés par un Rouge Hijack. En revanche, le piratage affectera di­rec­te­ment un serveur de noms dont il prendra le contrôle, par exemple chez un four­nis­seur d’accès Internet. Votre or­di­na­teur interroge dans ce cas le bon serveur DNS, mais celui-ci n’est plus maîtrisé, ou seulement par­tiel­le­ment, par son véritable four­nis­seur. Les hackers modifient dans ce cas des entrées spé­ci­fiques.

Un tel piratage est très difficile à réaliser, car la plupart des four­nis­seurs de serveurs de noms adoptent des normes de sécurité très élevées. Cependant, s’il y parvient, le hacker utilisant un Rouge Hijack pourra impacter un grand nombre d’uti­li­sa­teurs. N’importe quel client ef­fec­tuant une ré­so­lu­tion de noms au moyen d’un tel serveur DNS peut devenir la cible de DNS Hijacking.

L’attaque de l'homme du milieu

Lors d’une attaque de l'homme du milieu, l’attaquant – qui est lit­té­ra­le­ment l'homme du milieu – in­ter­cepte des paquets de données pendant la com­mu­ni­ca­tion entre le client et le serveur. Comme les requêtes DNS ne sont pas par­ti­cu­liè­re­ment chiffrées, l’attaquant peut fa­ci­le­ment lire les messages. Au lieu d’accéder au site qu’il sou­hai­tait consulter, l’in­ter­naute récupère l’adresse IP d’un site mal­veil­lant. Le véritable serveur DNS ne recevra vrai­sem­bla­ble­ment jamais la requête.

Les risques liés au DNS Hijacking

En cas de DNS Hijacking, les in­ter­nautes sont redirigés vers des sites non souhaités. Mais à quels risques concrets s’exposent-ils ? Il arrive que les sites vers lesquels vous êtes redirigé con­tien­nent des logiciels qui vont infecter votre système. Ce n’est cependant pas le cas de figure le plus fréquent. Ce qui est beaucoup plus fréquent, ce sont les tech­niques de phishing et de pharming.

En cas de phishing (ha­me­çon­nage), l’uti­li­sa­teur se retrouve sur une page qui ressemble à s’y méprendre à celle d’un site au­then­tique. Il s'agit cependant d’une fausse page conçue pour vous extorquer des in­for­ma­tions con­fi­den­tielles. L’uti­li­sa­teur pense par exemple qu’il est sur la page d’accueil de son agence bancaire, et va saisir son iden­ti­fiant et son mot de passe. Le hacker peut alors en­re­gis­trer ces in­for­ma­tions et les réu­ti­li­ser pour accéder au compte bancaire en ligne de l’uti­li­sa­teur.

Le phishing se pratique aussi sans DNS Hijacking, si l’uti­li­sa­teur clique sur des liens qui ont été manipulés. La cor­rup­tion du Domaine Name System est cependant un procédé beaucoup plus perfide : on pense avoir tout fait cor­rec­te­ment, on a tapé la bonne adresse URL dans la barre d’adresse du na­vi­ga­teur. On a peut-être même cliqué sur un onglet pré-en­re­gis­tré, et on se retrouve sur un site mal­veil­lant. Faisant par­fai­te­ment confiance au système DNS, la plupart des in­ter­nautes ne vérifient pas s’ils sont ef­fec­ti­ve­ment sur le site souhaité, ou s’ils ont atterri sur un site frau­du­leux.

Le pharming est quant à lui une technique moins dé­vas­ta­trice pour les uti­li­sa­teurs, mais qui peut être très rentable pour le hacker. Avec cette méthode, l’in­ter­naute est détourné vers un site qui regorge de pu­bli­ci­tés. Dès que vous accédez à cette page, qui ne présente par ailleurs aucun intérêt, son pro­prié­taire percevra de l’argent, même si vous fermez im­mé­dia­te­ment la page. L’argent ainsi gagné est gé­né­ra­le­ment réinvesti dans d’autres activités cri­mi­nelles.

Le DNS Hijacking est parfois même pratiqué de manière plus of­fi­cielle. Certains gou­ver­ne­ments le pra­ti­quent pour censurer l’Internet. Il peut servir à brimer des opinions po­li­tiques, ou à bloquer l’accès à des sites por­no­gra­phiques. Des in­ter­nautes cherchant à accéder à un site par­ti­cu­lier vont être détournés vers un tout autre site. À la dif­fé­rence du phishing, l’uti­li­sa­teur est gé­né­ra­le­ment averti dans ce cas de cette forme de censure.

Même les four­nis­seurs d’accès à Internet utilisent parfois le DNS Hijacking. Si un uti­li­sa­teur essaie d’accéder à une page Web qui n’est pas en­re­gis­trée dans le DNS, un message d’erreur (NXDOMAIN) s’affiche gé­né­ra­le­ment, et aucune page n’est chargée. C’est le cas notamment lorsqu’on fait une faute de frappe à la saisie de l’URL. Avant que le message d’erreur ne s’affiche, la requête examine tous les niveaux du Domain Name System. Ce n’est qu’une fois que le niveau supérieur indique qu’il n’existe aucune entrée sous ce nom que le na­vi­ga­teur affiche le message d’erreur.

À cet instant-même a lieu un DNS Hijacking délibéré, provoqué par le four­nis­seur d’accès Internet : le message d’erreur est in­ter­cepté, et une adresse IP menant vers une autre page est délivrée. Les four­nis­seurs d’accès à Internet procèdent de la sorte pour vous rediriger parfois vers des sites au contenu similaire, et ainsi augmenter leur chiffre d’affaires, ou pour mettre en valeur leurs propres offres. L’uti­li­sa­teur ne subit aucun dommage direct, mais il peut être affecté ou perturbé par l’affichage des pu­bli­ci­tés sur ces pages.

Comment se protéger contre le DNS Hijacking ?

Les modes d’attaque du DNS Hijacking sont aussi variés que les modes de pro­tec­tion. La première chose à faire est de modifier l’iden­ti­fiant de son routeur. Il est bien sûr pré­fé­rable de choisir un mot de passe hautement sécurisé. L’essentiel est de ne pas conserver les valeurs par défaut. Peu de hackers se donneront la peine de dé­chif­frer votre mot de passe. Nous vous re­com­man­dons par ailleurs de veiller à toujours avoir la dernière mise à jour du firmware de votre matériel. Les fa­bri­cants publient ré­gu­liè­re­ment des mises à jour dont le but est de ver­rouil­ler les failles de sécurité.

Pour sécuriser votre PC, protégez-le contre les chevaux de Troie. Cela est possible d’une part grâce à un antivirus, mais aussi en étant par­ti­cu­liè­re­ment prudent avec les fichiers sur Internet. Ne té­lé­char­gez jamais des fichiers en pro­ve­nance d’une personne que vous ne con­nais­sez pas ou d’une source au contenu douteux.

Vous pourrez augmenter votre niveau de pro­tec­tion en optant pour une connexion VPN. Dans ce cas, l’uti­li­sa­teur n’établit pas de connexion directe avec la page Web souhaitée, mais fait transiter la com­mu­ni­ca­tion par le serveur de services VPN. Ces con­nexions se font d’ailleurs gé­né­ra­le­ment de manière par­fai­te­ment chiffrée. Les attaques de type homme du milieu sont donc quasiment im­pos­sibles.

Une bonne manière de se protéger des risques sur Internet est de faire preuve d’un certain scep­ti­cisme et d’une bonne dose de prudence. Quand vous consultez des sites employant des données sensibles (banque en ligne, sites marchands, etc.), il est conseillé de vérifier plusieurs fois l’au­then­ti­cité du contenu. Soyez par exemple attentif au cer­ti­fi­cat SSL qu’il est possible d’afficher dans votre na­vi­ga­teur Internet.

Des moyens plus sécurisés pour la ré­so­lu­tion de noms sont en cours de dé­ve­lop­pe­ment. Avec les pro­to­coles DNS over HTTPS et DNS over TLS il est possible de chiffrer le transfert des données, évitant ainsi les attaques dites de « l’homme du milieu », et assurant une meilleure pro­tec­tion de la sphère privée des uti­li­sa­teurs. Ces tech­niques ne sont cependant pas encore con­si­dé­rées comme standards par tous les systèmes.

Aller au menu principal