Le système de noms de domaine (DNS) fournit une hiérarchie de noms pour les ordinateurs et les services sur Internet ou d’autres réseaux. Sa fonction la plus remarquable est la traduction de noms de domaine tels que example.com en adresses IP. Le DNS est nécessaire au fonctionnement d’Internet, fonctionne à l’échelle mondiale et est massivement distribué. Cependant, ce dernier est souvent victime d’attaques pour malversation surtout au sein des entreprises d’où la nécessite d’un audit régulier.
Détournement de DNS
Un attaquant peut effectuer un détournement de DNS en manipulant des postes de travail utilisateur ou des serveurs DNS. Dans le premier cas, un logiciel malveillant est utilisé pour modifier les serveurs de noms configurés d’un poste de travail, ce qui entraîne l’envoi de demandes DNS à des serveurs malveillants. Alternativement, un serveur DNS peut être compromis et configuré pour renvoyer des réponses incorrectes. Quoi qu’il en soit, les utilisateurs sont dirigés vers le site d’un attaquant, ce qui permet à l’attaquant de voler les informations d’identification de l’utilisateur (phishing), de générer du trafic (pharming), de distribuer des logiciels malveillants ou de publier une version dégradée du site Web. Pour s’informer, vous pouvez vous rendre sur https://nstools.fr/.
Les attaques par déni
Il existe plusieurs types d’attaques par déni de service qui sont utilisées contre les serveurs DNS, notamment NXDOMAIN, le domaine fantôme et les attaques de verrouillage de domaine. Dans chaque cas, le but de l’attaquant est d’augmenter la charge sur le serveur au point où il ne peut pas répondre aux demandes légitimes.
L’usurpation d’identité
L’usurpation d’identité se produit lorsqu’un résolveur DNS accepte un enregistrement de ressource non valide en raison d’une vulnérabilité. Un attaquant peut utiliser une longue durée de vie (TTL) pendant laquelle les données sont conservées dans le cache du résolveur et le résolveur est considéré comme « empoisonné ».
Le résultat est similaire au détournement de DNS. L’empoisonnement du cache DNS est atténué par des signatures cryptographiques telles que celles implémentées par les extensions de sécurité du système de noms de domaine mais qui n’est pas encore universellement déployé.