21 juin 2024 Serge
"L’EXPÉRIENCE DE CHACUN EST LE TRÉSOR DE TOUS"

Gérard de Nerval

Connaissez-vous ce « Man-in-the-Middle » ?

Courte parenthèse technique

Un résolveur DNS (Domain Name System) est un service qui traduit les noms de domaine intelligibles (comme www.create2.be) en adresses IP numériques (comme 104.26.14.112), permettant ainsi aux ordinateurs de localiser et d’accéder aux sites web hébergés sur telle ou telle machine (chacune ayant sa propre adresse IP. Ce service est effectué par un ou plusieurs serveurs DNS. Cet exercice est appelé “résolution DNS”.

Une attaque de type « Man-in-the-Middle » (MITM) est une technique où un attaquant intercepte et modifie des requêtes (comme l’appel d’un site ou d’une page web) entre un utilisateur et le résolveur DNS pour rediriger les utilisateurs vers des sites web malveillants. L’objectif est de voler des informations sensibles (le plus souvent des mots de passe ou des coordonnées bancaires) ou de perturber les services d’un site marchand (par exemple).

Comment fonctionnent les attaques MITM au niveau DNS ?

Les attaques MITM peuvent se dérouler de plusieurs façons :

  • DNS Spoofing (empoisonnement du cache DNS)
    L’attaquant injecte des entrées falsifiées dans le cache DNS d’un résolveur DNS. Lorsqu’un utilisateur fait une requête pour un domaine spécifique, le résolveur compromis renvoie une adresse IP incorrecte, redirigeant l’utilisateur vers un site malveillant.
  • ARP Spoofing
    En utilisant l’ARP Spoofing, l’attaquant redirige le trafic local destiné au serveur DNS vers son propre appareil (un portable ou un appareil spécifiquement conçu pour cet excercice). Cela permet à l’attaquant de répondre aux requêtes DNS avec des informations falsifiées. Cela peut s’organiser au sein d’une entreprise mais également depuis un réseau domestique grâces aux objets connectés. Ce que l’on vise ici, c’est l’interception des données.
  • Compromission des serveurs DNS
    L’attaquant compromet directement un serveur DNS pour modifier les enregistrements DNS. Cela affecte tous les utilisateurs qui se fient à ce serveur pour résoudre les noms de domaine. C’est pour cette raison que nous recommandons l’activation de la double authentification sur l’ensemble des services numériques que vous utilisez (cf. authentification multifactorielle).
  • Attaques par relais DNS
    L’attaquant intercepte les requêtes DNS entre l’utilisateur et le serveur DNS, modifie les réponses en transit, et les renvoie à l’utilisateur sans qu’il s’en rende compte. C’est typiquement ce qui peut vous arriver en vous connectant sur un réseau Wifi non sécurisé.

Quelles sont les motivations de l’attaquant ?

Comme toujours, elles sont multiples et non exhaustives :

  • Redirection vers des sites de phishing
    En modifiant les enregistrements DNS, l’attaquant peut rediriger les utilisateurs vers des sites web de phishing conçus pour voler des identifiants de connexion ou d’autres informations sensibles.
  • Distribution de logiciels malveillants
    L’attaquant redirige les utilisateurs vers des sites web malveillants qui exploitent des vulnérabilités du navigateur ou des plug-ins pour installer des logiciels malveillants sur les appareils des utilisateurs.
  • Interception des communications
    En redirigeant les utilisateurs vers des serveurs contrôlés par l’attaquant, ce dernier peut intercepter et surveiller les communications, capturant des informations sensibles telles que les identifiants de connexion, les e-mails, ou les transactions financières.

Comment se protéger contre les attaques MITM au niveau DNS ?

  • Utilisation de DNSSEC
    DNSSEC (Domain Name System Security Extensions) ajoute une couche de sécurité en signant numériquement les enregistrements DNS. Cela permet aux résolveurs DNS de vérifier l’authenticité et l’intégrité des réponses DNS, réduisant ainsi le risque d’attaques MITM.
  • Chiffrement des requêtes DNS
    Utilisez des protocoles comme DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT) pour chiffrer les requêtes DNS. Cela empêche les attaquants d’intercepter et de modifier les requêtes DNS en transit.
  • Utilisation de serveurs DNS fiables
    Configurez vos appareils pour utiliser des serveurs DNS fiables et sécurisés, comme ceux fournis par des fournisseurs de services DNS réputés qui mettent en œuvre des mesures de sécurité robustes.
  • Surveillance et détection des anomalies DNS
    Utilisez des outils de surveillance réseau pour détecter les comportements DNS anormaux, tels que des pics soudains de requêtes ou des modifications inattendues des enregistrements DNS.
  • Authentification forte pour les administrateurs DNS
    Assurez-vous que l’accès aux serveurs DNS et aux configurations DNS est protégé par une authentification forte, telle que l’authentification multifactorielle (MFA), pour prévenir la compromission des serveurs DNS.
  • Formation des utilisateurs
    Sensibilisez les utilisateurs aux dangers des attaques MITM au niveau DNS et encouragez-les à vérifier l’authenticité des sites web qu’ils visitent, en particulier lorsqu’ils entrent des informations sensibles.

Conclusion

Les attaques de type « Man-in-the-Middle » au niveau DNS représentent une menace sérieuse pour la sécurité des communications en ligne. En comprenant comment ces attaques fonctionnent et en mettant en œuvre des mesures de sécurité appropriées, vous pouvez protéger vos utilisateurs et votre infrastructure contre ces attaques. L’adoption de technologies comme DNSSEC, le chiffrement des requêtes DNS, et une vigilance accrue en matière de sécurité réseau sont essentielles pour garantir l’intégrité et la confidentialité des communications DNS.

  • Partager
Si cet article vous a plu ou si vous souhaitez corriger ou commenter son contenu, n’hésitez pas à utiliser notre formulaire de contact. Nous nous ferons un plaisir de recueillir vos impressions.

Create2be

25 années d’expertise digitale au service des petites et moyennes entreprises

Rubriques

Services

Gestion de sites

Create2be S.Comm.

Rue du Craetveld 78
1120 Neder-Over-Heembeek
Bruxelles , Belgique