Le DNS Hijacking : qu'est-ce-que c'est ?

DNS Hijacking : un hack à distance

Comme si ce n’était pas déjà assez dur de garder ses propriétés digitales protégées, maintenant voici le DNS Hijacking. En effet, WikiLeaks a fait l’amer découverte que les hackers avaient une nouvelle technique « à distance ». Ainsi, ils n’ont même plus besoin de toucher au site web directement. A la place, ils profitent de la plomberie qu’est internet pour « siphonner » les visiteurs du site. Et même les autres données comme les emails, avant même qu’ils n’atteignent votre réseau.
Ainsi, la semaine dernière, les visiteurs de WikiLeaks.org n’ont pas vu la page d’accueil familière. En effet, ils ont pu voir un message provenant d’un groupe de hackers, OurMine. Le fondateur du site, Julian Assange, a expliqué que le site avait été hacké via ses DNS. Donc en utilisant une technique bien connue : le DNS Hijacking. Néanmoins, comme WikiLeaks l’a noté, cela veut dire que ses serveurs n’ont pas été infectés lors de l’attaque. En effet, à la place, OurMine a exploité une couche fondamentale de l’internet. Et ont les hackers ont donc redirigé les visiteurs vers la destination de leur choix.
DNS Security Cybersecurity Protection

Les dessous d’un DNS Hijacking

Ainsi, le DNS Hijacking profite de la manière dont le Domain Name System (en français SNDSystème de Nom de Domaine) fonctionne. En effet, celui-ci agit comme un annuaire. Enfin plus exactement, comme une collection d’annuaires. Et ils sont parcourus par le moteur de recherche, où chaque annuaire lui renseigne où chercher. Ainsi, à force, le moteur de recherche atteint le serveur qui héberge le site que l’utilisateur veut visiter. Par conséquent, imaginez que vous tapez un nom de domaine comme « google.com ». Et bien les serveurs DNS hébergés par des parties tierces, comme le registre de domaine du site, le traduisent par l’adresse IP. Cela pour le serveur qui héberge le site.

C’est quoi un DNS déjà ?

« En fait, le DNS est votre nom dans l’univers. C’est comme ça que les gens vous trouvent », explique Raymond Pompon. Celui-ci est un chercheur en sécurité à F5 networks, qui a beaucoup écrit sur les DNS. Et sur la manière dont les hackers peuvent l’exploiter avec malveillance. De plus, « si quelqu’un en amont injecte de fausses entrées qui attirent les gens loin de vous, tout le trafic vers votre site, votre email et services vont alors pointer vers une fausse destination ».
Ainsi, la recherche de DNS est un processus compliqué, largement hors de contrôle du site de destination. Donc pour exécuter cette traduction domaine-vers-IP, votre moteur de recherche doit le demander à un serveur DNS. Et celui-ci est hébergé par votre fournisseur d’accès à internet. En effet, ce processus est requis pour rechercher la localisation du domaine. Puis ce dernier demande à un serveur DNS hébergé par le registre de domaine de haut niveau du site (les organisations en charge des bandes Web, comme .org ou .com). De plus, il interroge aussi le registre de domaine, qui lui-même demande au serveur DNS du site ou de l’entreprise elle-même. Ainsi un hacker capable de corrompre une recherche DNS n’importe où dans cette chaîne peut diriger le visiteur dans al mauvaise direction. Par conséquent, le site apparaître hors-ligne. De plus, le site pourra même rediriger les utilisateurs vers un autre site que le hacker contrôle.
« Tous ces processus de recherche et de retours d’informations se déroulent sur les serveurs des autres » ajoute Pompon. « C’est seulement à la fin qu’ils visitent vos serveurs ».

Exemples de DNS Hijacking

Néanmoins, dans le cas de WikiLeaks, on ne sait pas vraiment quelle partie de la chaîne DNS a été attaquée. Ni comment les hackers ont réussi à rédiriger une partie du public de WikiLeaks sur leur propre site. De plus, WikiLeaks utilise une protection appelée HTTPS Strict Transport Security. Ainsi, cela empêchait beaucoup de visiteurs d’être redirigés, en leur montrant à la place un message d’erreur. Mais OurMine n’a peut être même pas eu besoin d’une recherche profonde dans le registre du réseau pour attaquer. En effet, même une simple attaque d’ingénierie sociale sur un registre de domaine comme Dynadot ou GoDaddy peut falsifier  une requête dans un email. De plus, même un coup de téléphone en incarnant l’administrateur du site et demandant le changement de l’adresse IP peut fonctionner.

La Banque Brésilienne

Et les dégâts d’un DNS Hijacking peuvent atteindre plus qu’un léger malaise. En effet, il existe des hackers plus vicieux que ceux d’OurMine. Et la technique qu’ils utilisent est de rediriger des sources potentielles de WikiLeaks vers leur propre faux site pour essayer de les identifier. Ainsi, en Octobre 2016, des hackers ont réalisé un DNS Hijacking pour rediriger le trafic de 36 domaines de la banque Brésilienne. Donc pendant 6 heures, ils ont dirigé les visiteurs  de la banques vers des pages de phishing. De plus, ces dernières tentaient d’installer des malwares sur leurs ordinateurs. Donc toutes les opérations en ligne de la banque étaient sous le contrôle des hackers !

Attaque d’envergure

En outre, dans un autre incident de DNS Hijacking en 2013, les hackers de Syrian Electronic Army ont mis la main sur le domaine du New-York Times. Ainsi, cette attaque de DNS était probablement la plus importante de ces dernières années. En effet, les hackers, contrôlant le botnet Mirai des appareils IoT compromis, ont innondé les serveurs du fournisseur de DNS Dyn. Ainsi, ce n’était pas exactement un DNS Hijacking mais plus une DNS disruption ! Mais en tout cas, cela a forcé beaucoup de sites comme Amazon, Twitter ou Reddit à se mettre hors-ligne pendant plusieurs heures.
DNS Hijacking SMTP Security Expert-Com

Se protéger d’un DNS Hijacking

Et bien il n’existe pas de protection avérée contre le DNS Hijacking, comme ceux qu’on vécu WikiLeaks et le New York Times. Néanmoins, des contre-mesures existent. En effet, les administrateurs de sites web peuvent choisir des registres de domaine qui offrent des authentification à multiples facteurs. Par conséquent, une personne qui veut modifier les DNS du site doit avoir accès au Google Authenticator ou au Yubikey de l’administrateur. De plus, certains registres offrent la possibilité de « verrouiller » les fonctionnalités des DNS. Ainsi, ils ne peuvent être changés qu’après que le registraire ait appelé l’administrateur du site et obtenu sa validation.
Sinon, le DNS Hijacking peut prendre un contrôle total du trafic d’un site très (trop) facilement. Et le stopper est entièrement hors de votre portée.
 

Partagez l'article

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email