Les attaques DNS peuvent perturber l’ensemble du réseau d’une entreprise. Elles sont en mesure de paralyser son activité sur plusieurs jours et causer des pertes importantes : indisponibilité du site web et des services cloud de l’entreprise, infections par des maliciels… En comprenant les mécanismes de ces attaques et en adoptant des mesures de prévention adéquates, il est possible de protéger efficacement son infrastructure.
En octobre 2016, les sites de Spotify, Netflix, Twitter et Amazon ont été inaccessibles pendant 10 heures aux USA. Parmi les autres grandes firmes impactées, figuraient The New York Times et Microsoft. Or, le système informatique de ces sociétés n’était aucunement en cause. L’attaquant avait juste exploité une faille de sécurité du serveur DNS.
Ces attaques DNS représentent un sérieux talon d’Achille de l’infrastructure liée au Web. Sur l’année 2020, elles auraient touché 83 % des entreprises sur le territoire français. Qu’en est-il au juste ?
Qu’est-ce que le DNS ?
Le DNS ou Domain Name System permet d’établir la correspondance entre une adresse de site telle que madonna.com et l’adresse IP correspondante, soit une suite de chiffres séparés par des points.
Le lieu où se déroule la conversion est un serveur DNS. En France, les principaux serveurs DNS de référence sont gérés par Free, Orange, SFR et Bouygues Telecom. Il existe aussi des alternatives gratuites comme Google Public DNS, CloudFlare et OpenDNS.
Comment cela se passe-t-il dans la pratique ? Lorsqu’un internaute tape « madonna.com » sur son navigateur, cette expression est adressée à un serveur DNS qui la traduit en une IP : 3.33.139.232.
Les étapes sont les suivantes
- Le résolveur DNS recherche l’adresse IP dans sa base de données ou bien encore dans son cache local. La mise en cache est une technique couramment utilisée sur le Web en vue de réduire les temps de chargement : le cache conserve une copie des pages les plus souvent consultées et les fournit directement à l’utilisateur.
- Si le résolveur DNS ne trouve pas l’adresse IP , le résolveur DNS interroge d’autres serveurs DNS notamment un serveur DNS de référence.
- Une fois l’adresse IP trouvée, le résolveur la communique au navigateur Web. Il la stocke aussi dans son cache local pour pouvoir la fournir rapidement à un autre internaute qui ferait la même demande.
Lors de la panne d’octobre 2016 évoquée plus haut et qui a touché des sites tels qu’Amazon, Twitter, Netflix et Spotify, c’est l’attaque opérée sur le serveurs DNS d’un acteur américain majeur, Dyn, qui était en cause. Il s’agissait d’une attaque DDOS – explications plus bas.
Pourquoi le DNS est-il fragile ?
Le système des DNS a essentiellement été conçu dans un souci de facilité d’usage, en vue de répondre avec précision et efficacité aux requêtes. La sécurité n’a pas été intégrée dans sa conception. Le protocole DNS repose sur des échanges en clair, ce qui peut faciliter l’interception et la falsification des requêtes. De ce fait, le DNS est devenu un vecteur de choix pour les cyberattaques.
Comment fonctionnent les attaques DNS ?
Les attaques DNS exploitent les vulnérabilités du système de nom de domaine (DNS). La plupart du temps, l’acteur malveillant intercepte une requête DNS et envoie une réponse factice avant que le serveur DNS légitime n’ait eu le temps de répondre.
Les principaux types d’attaques DNS
Attaque par empoisonnement du cache DNS
Cette technique vise à rediriger les utilisateurs vers une fausse plateforme web. La faille exploitée ici est le cache DNS. Des adresses IP incorrectes y sont injectées et cela peut suffire à impacter des dizaines de milliers d’usagers.
Le visiteur tape une adresse, par exemple, celle d’un site de e-commerce en ligne et se voit redirigé vers un site frauduleux. Son identifiant et son mot de passe peuvent ainsi être détournés.
Attaque DDoS par amplification
Les attaques de ce type ciblent principalement les sites web à très forte audience comme ceux de Sony ou Microsoft. Une attaque par déni de service distribué ou DDoS vise à rendre un service en ligne indisponible en le submergeant de trafic provenant de multiples sources. Une des attaques DDoS les plus impressionnantes de tous les temps a eu lieu lorsque Cloudflare a reçu 26 millions de requêtes par seconde en 2022.
Dans une attaque DDoS par amplification, l’attaquant exploite des serveurs ouverts pour amplifier le volume de trafic dirigé vers la cible et la submerger. L’attaquant, via un botnet, incite un réseau d’ordinateurs infectés à envoyer des milliers de demandes, ce qui peut provoquer une panne du système.
Détournement du DNS
Les enregistrements DNS sont manipulés de façon à rediriger des requêtes DNS vers d’autres destinations. Parmi les méthodes mises en œuvre figurent la compromission des serveurs DNS ou l’attaque de l’homme du milieu – le hacker intercepte et modifie les requêtes DNS.
TCP SYN Flood
Il s’agit d’un autre type d’attaque par déni de service : l’attaquant envoie une succession très rapide de requêtes SYN (un message utilisé dans le protocole TCP pour établir une connexion entre deux ordinateurs) dans le but de saturer le serveur et le rendre dans l’incapacité de répondre au trafic légitime.
Attaque par génération de domaine (Domain Generation Algorithm - DGA)
L’attaquant génère de nombreux noms de domaine aléatoires pour échapper à la détection et aider à la propagation de maliciels.
Attaque de couverture
L’attaquant manipule le DNS pour créer une diversion et ainsi détourner l’attention des systèmes de sécurité. L’objectif est de pouvoir mener une autre attaque bien plus préjudiciable immédiatement après.
Comment prévenir les attaques DNS ?
Implémenter DNSSEC
DNSSEC (Domain Name System Security Extensions) est une extension qui ajoute une couche d’authentification et d’intégrité aux réponses DNS. Elle utilise des signatures numériques pour authentifier les données DNS.
Journalisation
En procédant à une journalisation des requêtes adressées aux serveurs DNS, il est possible de détecter des anomalies et d’entreprendre une analyse approfondie.
Restriction d’accès
En limitant l’usage des résolveurs DNS à une série d’utilisateurs identifiés comme valides, on peut empêcher un empoisonnement du cache.
Sauvegarde des données DNS
Des copies stockées sur d’autres serveurs vont aider à remplacer aisément les données d’un serveur DNS corrompu.
Déployer une protection DNS dédiée
Souscrire un contrat de sécurité DNS auprès d’un service tiers est souvent avisé.
