Ignorer le contenu principal

DNS signifie « système de nom de domaine » et peut être défini comme l'index de l'Internet. Il permet aux utilisateurs d'accéder à des informations en convertissant un nom de domaine (comme kaspersky.com) en l'adresse IP correspondante dont un navigateur a besoin pour charger des ressources Internet (par exemple, des articles comme celui-ci). En tant que système, le DNS est utilisé pour suivre, cataloguer et réguler les sites Internet du monde entier.

Afin de nous faire une idée plus précise de ce qu'est le DNS, nous devons nous pencher sur son fonctionnement. Cependant, il est d'abord important de clarifier les termes associés à ce sujet :

Une adresse de protocole Internet (IP) est le numéro attribué à chaque ordinateur et serveur unique. Ce sont ces identifiants que les ordinateurs utilisent pour se localiser et « communiquer » entre eux.

Un domaine (ou un nom de domaine) est un nom textuel que les humains utilisent pour se rappeler et identifier des sites Internet particuliers, et s'y connecter ainsi qu'à leurs serveurs. Par exemple, un domaine comme « www.kaspersky.com » est utilisé pour connaître facilement l'identifiant du serveur cible réel – c'est-à-dire une adresse IP.

Les serveurs de systèmes de noms de domaine (serveurs DNS ou serveurs de noms DNS) sont un ensemble de quatre types de serveurs qui composent le processus de « recherche DNS ». Ils comprennent le serveur de noms de résolution, les serveurs de noms racine, les serveurs de noms de domaines de premier niveau (TLD) ainsi que les serveurs de noms faisant autorité. Pour y voir plus clair, présentons les particularités de chacun de ces serveurs :

  1. Le serveur de noms de résolution (ou résolveur récursif) est le composant de traduction du processus de recherche DNS. Il est conçu pour recevoir des requêtes du client (par l'intermédiaire d'un navigateur ou d'une application Internet), puis pour communiquer ces requêtes à une série de serveurs Internet (énumérés ci-dessous) afin de trouver l'adresse Internet cible d'un nom de domaine. Il peut répondre avec des données précédemment mises en cache ou envoyer la requête à un serveur de noms racine. Le service de résolution de noms est en communication constante avec les serveurs ci-dessous pendant un processus de recherche.
  2. Le serveur de noms racine (serveur racine) est le point de départ de toutes les recherches DNS. Si vous imaginez le DNS comme une hiérarchie, la « zone racine » se trouve au sommet. Un serveur racine est un serveur de noms DNS qui fonctionne dans la zone racine. Il sert souvent de point de référence dans le cadre d'une recherche.
  3. Le serveur de noms de domaine de premier niveau (TLD) est situé un niveau en dessous de la zone racine. La phase suivante de la recherche contient des informations sur l'ensemble des noms de domaine qui contiennent une « extension de domaine » commune, c'est-à-dire .com, .net, etc.
  4. Le serveur de noms faisant autorité est la partie finale de la recherche, et contient des informations propres au nom de domaine recherché. Il peut fournir l'adresse IP correcte au serveur de noms de résolution.

Maintenant que nous avons défini le DNS et que nous en avons une compréhension générale, nous pouvons étudier son fonctionnement exact.

Comment le DNS fonctionne-t-il ?

Lorsque vous recherchez un site Internet à l'aide d'un nom de domaine sur votre navigateur, vous entamez un processus appelé « lookup » (recherche). Le processus de recherche se déroule en 6 étapes :

  1. Votre navigateur Internet et votre système d'exploitation tentent de rappeler l'adresse IP associée au nom de domaine. Si elle a été visitée précédemment, l'adresse IP peut être rappelée à partir du stockage interne de l'ordinateur ou de la mémoire cache.
  2. Le processus se poursuit si aucun des deux composants ne sait où se trouve l'adresse IP de destination.
  3. Le système d'exploitation demande l'adresse IP au serveur de noms de résolution. Cette requête entame la recherche dans la chaîne de serveurs du système de nom de domaine pour trouver l'adresse IP correspondant au domaine.
  4. La requête parvient d'abord au serveur de noms racine, qui la dirige vers le serveur de premier niveau (via le résolveur).
  5. Le serveur de premier niveau transmet ensuite votre requête, ou la fait pointer, vers le serveur de noms faisant autorité (à nouveau, via le résolveur).
  6. Finalement, le résolveur, en communiquant avec le serveur de noms faisant autorité, trouvera l'adresse IP et la fournira au système d'exploitation, qui la transmettra au navigateur Internet, vous présentant ainsi la page ou le site Internet demandé.

Le processus de recherche DNS est le système de base utilisé par l'ensemble du réseau Internet. Malheureusement, les criminels peuvent abuser des vulnérabilités du DNS, ce qui implique que vous devez être attentif aux escroqueries par redirection, souvent appelées « spoofing » (usurpation) et « poisoning » (empoisonnement). Pour vous prémunir contre ces menaces, nous allons vous expliquer ce que sont l'usurpation et l'empoisonnement du cache DNS, et comment ils se manifestent.

a picture of a DNS server circuit board with a glowing blue chip in the shape of a spider

Définition de l'usurpation et de l'empoisonnement du cache DNS

L'usurpation et l'empoisonnement du cache du système de nom de domaine (DNS) sont des types de cyberattaques qui exploitent les vulnérabilités des serveurs DNS pour détourner le trafic des serveurs légitimes vers de faux serveurs. Lorsque vous tombez sur une page frauduleuse, vous pourriez vous demander comment agir. Pourtant, vous êtes la seule personne à pouvoir intervenir. Vous devez connaître exactement son fonctionnement pour vous protéger.

L'usurpation du DNS et, par extension, l'empoisonnement du cache DNS font partie des cybermenaces les plus trompeuses. Si vous ne comprenez pas comment le réseau Internet vous relie aux sites Internet, vous pouvez penser que le site Internet lui-même a été piraté. Dans certains cas, il se peut que votre appareil soit le seul en cause. Pire encore, les suites de cybersécurité ne peuvent arrêter que certaines des menaces liées à l'usurpation du DNS.

Comment fonctionnent l'usurpation et l'empoisonnement du cache DNS ?

En ce qui concerne le DNS, les menaces les plus importantes se présentent sous deux formes :

  1. L'usurpation du DNS est la menace résultante qui imite des adresses de serveurs authentiques pour rediriger le trafic d'un domaine. Les victimes peu méfiantes se retrouvent sur des sites Internet malveillants, ce qui est le but recherché par les différentes méthodes d'attaques par usurpation de DNS.
  2. L'empoisonnement du cache DNS est une méthode d'usurpation du DNS par l'utilisateur, dans laquelle votre système enregistre l'adresse IP frauduleuse dans le cache de votre mémoire locale. Le DNS rappelle alors le mauvais site spécialement pour vous, même si le problème est résolu ou n'a jamais existé du côté du serveur.

Méthodes d'attaques par usurpation ou empoisonnement du cache DNS

Parmi les différentes méthodes d'attaques par usurpation du DNS, voici les plus courantes :

Tromperie de l'homme du milieu : Lorsqu'un pirate informatique se place entre votre navigateur Internet et le serveur DNS. Un outil est utilisé pour empoisonner simultanément le cache de votre appareil local et le serveur DNS. Il en résulte une redirection vers un site malveillant hébergé sur le serveur local du pirate.

Détournement de serveurs DNS : Le criminel reconfigure le serveur de manière à diriger tous les utilisateurs qui effectuent une demande vers le site Internet malveillant. Une fois qu'une entrée DNS frauduleuse est injectée sur le serveur DNS, toute demande d'adresse IP vers le domaine usurpé aboutira au faux site.

Empoisonnement du cache DNS par le spam : Le code des attaques par empoisonnement de cache DNS est souvent présent dans les URL envoyées par le biais de courriers indésirables. Dans ces emails, les cybercriminels tentent de faire peur aux utilisateurs afin de les inciter à cliquer sur l'URL fournie, qui infecte ensuite leur ordinateur. Les images et bannières publicitaires (dans les emails comme sur les sites Internet potentiellement douteux) peuvent également conduire les utilisateurs à ce code. Une fois empoisonné, votre ordinateur vous redirigera vers de faux sites Internet qui se font passer pour des versions authentiques. C'est là que les véritables menaces sont introduites dans vos appareils.

Risques d'usurpation et d'empoisonnement du cache DNS

Voici quelques risques courants liés à l'usurpation et à l'empoisonnement du cache DNS :

  • Vol de données
  • Infection par un programme malveillant
  • Mises à jour de sécurité interrompues
  • Censure

L'usurpation du DNS présente plusieurs risques, chacun mettant en danger vos appareils et vos données personnelles.

Le vol de données peut être particulièrement lucratif dans les cas d'usurpation du DNS. Les sites Internet de services bancaires et les grands sites de commerce en ligne sont facilement touchés, ce qui signifie que les mots de passe, les informations de carte de crédit ou les données personnelles peuvent être compromis. Les redirections se font alors vers des sites Internet de phishing conçus pour collecter vos données.

L'infection par des programmes malveillants est une autre menace courante liée à l'usurpation du DNS. Lorsque vous vous faites rediriger vers un faux site, la page de destination peut se révéler être un site rempli de fichiers malveillants. Les téléchargements furtifs sont un moyen facile d'automatiser l'infection de votre système. En fin de compte, si vous n'utilisez pas de solution de sécurité Internet, vous vous exposez à des risques comme ceux des logiciels espions, des enregistreurs de frappe ou des vers.

L'arrêt des mises à jour de sécurité peut être dû à une usurpation du DNS. Si les faux sites incluent des fournisseurs de sécurité Internet, les mises à jour de sécurité authentiques ne seront pas exécutées. Votre ordinateur peut donc être exposé à des menaces supplémentaires, comme des virus ou des chevaux de Troie.

La censure est un risque qui est en fait monnaie courante dans certaines parties du monde. Par exemple, la Chine utilise des modifications du DNS pour s'assurer que tous les sites Internet consultés dans le pays sont approuvés. Ce blocage à l'échelle nationale, surnommé le « Grand Pare-feu », est un exemple révélateur du potentiel de l'usurpation du DNS.

Concrètement, il est difficile d'éliminer un empoisonnement du cache DNS. Étant donné que le nettoyage d'un serveur infecté ne réglera pas le problème sur un appareil de bureau ou mobile, l'appareil sera redirigé vers le faux site. En outre, les ordinateurs de bureau non contaminés qui se connectent à un serveur infecté seront de nouveau compromis.

Comment prévenir l'usurpation et l'empoisonnement du cache DNS ?

Lorsqu'on cherche à prévenir l'usurpation du DNS, les mesures de protection du côté utilisateur sont limitées. Les propriétaires de sites Internet et les fournisseurs de serveurs sont un peu plus à même de se protéger, eux et leurs utilisateurs. Par souci de sécurité collective, les deux parties doivent s'efforcer d'éviter les usurpations.

Voici comment les propriétaires de sites Internet et les fournisseurs de services DNS peuvent prévenir ces attaques :

  1. Outils de détection de l'usurpation du DNS
  2. Extensions de sécurité du système de nom de domaine
  3. Chiffrement de bout en bout

Voici comment les utilisateurs de terminaux peuvent se prémunir contre ces menaces :

  1. Ne cliquez jamais sur un lien que vous ne reconnaissez pas
  2. Analysez régulièrement votre ordinateur et vérifiez qu'il ne contient aucun programme malveillant
  3. Videz votre cache DNS pour résoudre les problèmes d'empoisonnement
  4. Utilisez un réseau privé virtuel (VPN)

Conseils de prévention pour les propriétaires de sites Internet et les fournisseurs de serveurs DNS

En tant que propriétaire d'un site Internet ou fournisseur de serveur DNS, la responsabilité de défendre vos utilisateurs se trouve entièrement entre vos mains. Vous pouvez mettre en œuvre divers outils et protocoles de protection pour écarter les menaces. Il est judicieux d'utiliser certaines des ressources suivantes :

  1. Outils de détection de l'usurpation du DNS : Équivalents des produits de sécurité pour les utilisateurs de terminaux, ces outils de détection analysent de manière proactive l'ensemble des données reçues avant de les transférer.
  2. Extensions de sécurité du système de nom de domaine (DNSSEC) : Le système DNSSEC, qui est essentiellement un certificat DNS « vérifié authentique », permet de garantir l'authenticité d'une requête DNS ainsi que l'absence d'usurpation.
  3. Chiffrement de bout en bout : Les données chiffrées, envoyées dans le cadre des demandes et des réponses DNS, tiennent les criminels à l'écart dans la mesure où ils ne pourront pas dupliquer le certificat de sécurité unique du site Internet légitime.

Conseils de prévention pour les utilisateurs

Les utilisateurs sont particulièrement vulnérables à ce type de menaces. Pour éviter d'être victime d'une attaque par empoisonnement du cache DNS, vous devriez suivre ces quelques conseils simples :

  1. Ne cliquez jamais sur un lien que vous ne reconnaissez pas. Il est notamment question des emails, des messages texte ou des liens dans les réseaux sociaux. Les outils qui raccourcissent les URL peuvent masquer davantage la destination des liens. Évitez-les autant que possible. Pour davantage de sécurité, saisissez plutôt manuellement les URL dans votre barre d'adresse. Toutefois, faites-le uniquement après avoir confirmé que le site est bien officiel et authentique.
  2. Analysez régulièrement votre ordinateur à la recherche de programmes malveillants. Certes, vous ne serez peut-être pas en mesure de détecter un empoisonnement du cache DNS, mais votre logiciel de sécurité vous aidera à détecter les infections qui en résultent et à les supprimer. Étant donné que les faux sites peuvent diffuser tout type de programmes malveillants, il est recommandé de lancer systématiquement une analyse à la recherche de virus, de logiciels espions et d'autres problèmes cachés (l'inverse est également possible, car des programmes malveillants peuvent diffuser de faux sites). Pour ce faire, utilisez toujours un programme installé localement plutôt qu'une version hébergée, l'empoisonnement pouvant engendrer de faux résultats via Internet.
  3. Videz votre cache DNS pour résoudre les problèmes d'empoisonnement si nécessaire. L'empoisonnement du cache reste dans votre système sur le long terme, à moins que vous n'éliminiez les données infectées. L'opération peut se limiter à ouvrir le programme « Exécuter » de Windows et à saisir la commande « ipconfig /flushdns ». Mac, iOS et Android disposent également de telles fonctions de nettoyage. On les trouve généralement dans une option de « réinitialisation des paramètres réseau », en passant par le mode avion, en redémarrant l'appareil ou dans une URL particulière d'un navigateur Internet natif. Renseignez-vous sur la procédure à suivre pour votre appareil.
  4. Utilisez un réseau privé virtuel (VPN). Ce type de services vous permet de disposer d'un tunnel chiffré pour l'ensemble de votre trafic Internet et d'utiliser des serveurs DNS privés qui font exclusivement appel à des demandes chiffrées de bout en bout. Vous profiterez ainsi de serveurs beaucoup plus résistants à l'usurpation du DNS et de demandes qui ne pourront pas être interrompues.

Ne vous exposez pas à l'usurpation du DNS ni aux programmes malveillants. Protégez-vous dès aujourd'hui avec les produits Kaspersky Home Security.

Autres articles et liens connexes :

Produits connexes :

Qu’est-ce que le DNS ?

Découvrez ce qu'est le DNS, ce qu'il signifie et comment il fonctionne. Nous expliquerons également comment il peut être usurpé et empoisonné, et comment éviter qu'il infecte votre appareil.
Kaspersky Logo