Une introduction au syst\u00e8me de noms de domaine (DNS)<\/h2>\n
Avant d’entrer dans les d\u00e9tails du DNS poisoning, parlons du syst\u00e8me de noms de domaine<\/a>. Si la navigation sur un site web semble \u00eatre une t\u00e2che simple, il se passe beaucoup de choses sous le capot du serveur.<\/p>\n De nombreux \u00e9l\u00e9ments sont impliqu\u00e9s pour vous permettre de passer de \u00ab A \u00bb \u00e0 \u00ab B \u00bb :<\/p>\n En g\u00e9n\u00e9ral, un DNS simplifie la recherche d’un nom de domaine pour l’utilisateur final. C’est un \u00e9l\u00e9ment essentiel du web et, en tant que tel, il comporte de nombreuses pi\u00e8ces mobiles.<\/p>\n Nous examinerons ensuite le processus de recherche lui-m\u00eame, mais vous pouvez d\u00e9j\u00e0 voir que le DNS a un r\u00f4le essentiel \u00e0 jouer.<\/p>\n\n Soyez patient avec nous ici pendant que nous proposons ce qui ressemble \u00e0 une analogie abstraite.<\/p>\n Les activit\u00e9s qui emm\u00e8nent les gens dans des endroits recul\u00e9s, comme l’alpinisme ou la voile, partagent un danger sp\u00e9cifique : se perdre et ne pas \u00eatre retrouv\u00e9 \u00e0 temps. La fa\u00e7on traditionnelle de localiser les personnes \u00e9chou\u00e9es a \u00e9t\u00e9 d’utiliser des coordonn\u00e9es. Elles sont explicites et offrent une pr\u00e9cision extr\u00eame. Cependant, ce proc\u00e9d\u00e9 pr\u00e9sente des inconv\u00e9nients.<\/p>\n Premi\u00e8rement, vous devez savoir comment calculer vos coordonn\u00e9es pour n’importe quel endroit – ce qui est d\u00e9licat si vous vous trouvez dans une r\u00e9gion recul\u00e9e du monde. Ensuite, vous devez expliquer ces coordonn\u00e9es \u00e0 l’\u00e9quipe de secours. Un seul chiffre erron\u00e9 et les cons\u00e9quences sont terribles.<\/p>\n L’application what3words<\/a> prend le processus complexe de calcul et de transmission des coordonn\u00e9es et le transforme en un r\u00e9sum\u00e9 en trois mots de votre emplacement g\u00e9n\u00e9ral. Par exemple, prenez le si\u00e8ge social d’Automattic<\/a>:<\/p>\n Les coordonn\u00e9es de l’endroit sont 37.744159, -122.421555<\/b>. Mais \u00e0 moins d’\u00eatre un navigateur expert, il est peu probable que vous sachiez cela. Et m\u00eame si c’\u00e9tait le cas, mettre cela entre les mains de quelqu’un qui pourrait vous aider est une proposition bien mince.<\/p>\n En un mot, what3words prend un ensemble abstrait de coordonn\u00e9es et les traduit en trois mots m\u00e9morisables. Dans le cas des bureaux d’Automattic, il s’agit de decent.transfers.sleeps<\/b>:<\/p>\n Cela met le positionnement mondial complexe entre les mains de presque n’importe qui ayant acc\u00e8s \u00e0 l’application. Cela a d\u00e9j\u00e0 sauv\u00e9 beaucoup de vies civiles<\/a>.<\/p>\n Cela est li\u00e9 \u00e0 une recherche DNS car le processus est similaire. Dans le cas de what3words, le sauveteur demande \u00e0 l’application les coordonn\u00e9es d’une cha\u00eene de mots. La requ\u00eate est envoy\u00e9e \u00e0 travers les serveurs pour chercher les coordonn\u00e9es et revenir \u00e0 l’utilisateur final lorsqu’il les a trouv\u00e9es.<\/p>\n Une recherche DNS a un flux similaire<\/a>:<\/p>\n L’un des inconv\u00e9nients de what3words est qu’une cha\u00eene de mots n’est pas aussi pr\u00e9cise qu’un ensemble de coordonn\u00e9es. Cela signifie que vous pouvez localiser rapidement un emplacement g\u00e9n\u00e9ral mais que vous pouvez passer plus de temps \u00e0 trouver la personne bloqu\u00e9e.<\/p>\n Une recherche DNS a \u00e9galement des inconv\u00e9nients et les attaquants malveillants peuvent les exploiter. Mais avant d’aborder ce sujet, faisons un bref d\u00e9tour pour parler de la mise en cache et de la fa\u00e7on dont elle peut acc\u00e9l\u00e9rer une recherche.<\/p>\n Tout comme la mise en cache web, la mise en cache DNS peut vous aider \u00e0 rappeler des requ\u00eates r\u00e9guli\u00e8res au serveur. Ainsi, le processus de r\u00e9cup\u00e9ration d’une adresse IP sera plus rapide \u00e0 chaque nouvelle visite.<\/p>\n En bref, le cache est situ\u00e9 dans le syst\u00e8me du serveur DNS et \u00e9vite le voyage suppl\u00e9mentaire vers le serveur r\u00e9cursif. Cela signifie qu’un navigateur peut aller chercher une adresse IP directement sur le serveur DNS et effectuer la requ\u00eate GET<\/b> plus rapidement.<\/p>\n Vous trouverez des caches DNS dans l’ensemble de votre syst\u00e8me. Par exemple, votre ordinateur aura un cache DNS, tout comme votre routeur et votre fournisseur d’acc\u00e8s Internet (FAI). Souvent, vous ne r\u00e9alisez pas \u00e0 quel point votre exp\u00e9rience de navigation d\u00e9pend de la mise en cache DNS – jusqu’\u00e0 ce que vous soyez victime de DNS poisoning.<\/p>\n Maintenant que vous comprennez le concept d’une consultation DNS et le processus complet de r\u00e9cup\u00e9ration d’une adresse IP, nous pouvons voir comment cela peut \u00eatre exploit\u00e9.<\/p>\n Vous verrez souvent que le DNS poisoning est aussi appel\u00e9 \u00ab spoofing \u00bb parce qu’avoir un site web frauduleux \u00ab sosie \u00bb dans la cha\u00eene fait partie de l’attaque.<\/p>\n Nous allons parler plus en d\u00e9tail de tous ces aspects, mais sachez que le poisoning DNS ou le sproofing DNS est une attaque nuisible qui peut causer des probl\u00e8mes mentaux, mon\u00e9taires et de ressources pour les utilisateurs et Internet.<\/p>\n Mais d’abord, entrons dans le processus cache poisoning.<\/p>\n \u00c9tant donn\u00e9 que l’ensemble du processus d’usurpation est complexe, les attaquants ont cr\u00e9\u00e9 de nombreux moyens diff\u00e9rents pour atteindre leur objectif :<\/p>\n Une attaque d’anniversaire est bas\u00e9e sur le \u00ab probl\u00e8me d’anniversaire<\/a> \u00bb Il s’agit d’un sc\u00e9nario de probabilit\u00e9 qui dit (en r\u00e9sum\u00e9) que s’il y a 23 personnes dans une pi\u00e8ce, il y a 50 % de chances que deux d’entre elles partagent le m\u00eame anniversaire. S’il y a plus de personnes dans la pi\u00e8ce, les chances augmentent.<\/p>\n Cela se traduit par un empoisonnement du DNS bas\u00e9 sur l’identifiant qui relie la requ\u00eate de consultation du DNS \u00e0 la r\u00e9ponse GET<\/b>. Si l’attaquant envoie un certain nombre de requ\u00eates et de r\u00e9ponses al\u00e9atoires, il y a une forte probabilit\u00e9 qu’une correspondance aboutisse \u00e0 une tentative d’empoisonnement r\u00e9ussie. \u00c0 partir d’environ 450 requ\u00eates, la probabilit\u00e9 est d’environ 75 %, et \u00e0 700 requ\u00eates, un attaquant est presque s\u00fbr de craquer le serveur.<\/p>\n En bref, les attaques contre le serveur DNS se produisent dans la plupart des cas car cela donne \u00e0 un utilisateur malveillant une plus grande flexibilit\u00e9 pour manipuler votre site et les donn\u00e9es des utilisateurs. Il n’y a pas non plus de v\u00e9rification des donn\u00e9es DNS car les requ\u00eates et les r\u00e9ponses n’utilisent pas le protocole de contr\u00f4le de transmission (TCP)<\/a>.<\/p>\n Le point faible de la cha\u00eene est le cache DNS car il fait office de r\u00e9f\u00e9rentiel pour les entr\u00e9es DNS. Si un attaquant peut injecter de fausses entr\u00e9es dans le cache, chaque utilisateur qui y acc\u00e8de se retrouvera sur un site frauduleux jusqu’\u00e0 l’expiration du cache.<\/p>\n Les attaquants recherchent souvent quelques signaux, points faibles et points de donn\u00e9es \u00e0 cibler. Ils s’efforcent de rep\u00e9rer les requ\u00eates DNS qui n’ont pas encore \u00e9t\u00e9 mises en cache car le serveur r\u00e9cursif devra entreprendre la requ\u00eate \u00e0 un moment donn\u00e9. Par extension, un attaquant cherchera aussi le serveur de noms vers lequel une requ\u00eate ira. Une fois qu’ils l’ont, le port que le r\u00e9solveur utilise et le num\u00e9ro d’identification de la requ\u00eate sont essentiels.<\/p>\n Bien qu’il ne soit pas n\u00e9cessaire de r\u00e9pondre \u00e0 toutes ces exigences (apr\u00e8s tout, un attaquant peut acc\u00e9der aux serveurs par de nombreuses m\u00e9thodes), le fait de cocher ces cases leur facilite la t\u00e2che.<\/p>\n Au fil des ans, il y a eu quelques exemples tr\u00e8s m\u00e9diatis\u00e9s de DNS poisoning. Dans certains cas, il s’agit d’un acte intentionnel. Par exemple, la Chine fait fonctionner un pare-feu \u00e0 grande \u00e9chelle (le soi-disant \u00ab Grand Pare-feu de Chine \u00bb) pour contr\u00f4ler les informations que les internautes re\u00e7oivent.<\/p>\n En un mot, ils empoisonnent leurs propres serveurs en redirigeant les visiteurs qui se dirigent vers des sites non sanctionn\u00e9s par l’\u00c9tat, comme Twitter et Facebook. Dans un cas<\/a>, les restrictions chinoises ont m\u00eame fait leur chemin dans l’\u00e9cosyst\u00e8me du monde occidental.<\/p>\n Une erreur de r\u00e9seau d’un FAI su\u00e9dois a servi des informations DNS racine provenant de serveurs chinois. Les utilisateurs du Chili et des \u00c9tats-Unis ont donc \u00e9t\u00e9 redirig\u00e9s ailleurs lorsqu’ils ont acc\u00e9d\u00e9 \u00e0 certains sites de r\u00e9seaux sociaux.<\/p>\n Dans un autre exemple<\/a>, des pirates bangladais protestant contre les mauvais traitements en Malaisie ont empoisonn\u00e9 de nombreux domaines li\u00e9s \u00e0 Microsoft, Google, YouTube et d’autres sites tr\u00e8s connus. Il semble s’agir d’un cas de d\u00e9tournement de serveur plut\u00f4t que d’un probl\u00e8me c\u00f4t\u00e9 client ou de spam.<\/p>\n M\u00eame WikiLeaks n’est pas \u00e0 l’abri des attaques de DNS poisoning. Un d\u00e9tournement de serveur potentiel<\/a> il y a quelques ann\u00e9es a fait que les visiteurs du site ont \u00e9t\u00e9 redirig\u00e9s vers une page d\u00e9di\u00e9e aux pirates.<\/p>\n Le DNS poisoning ne doit pas \u00eatre un processus compliqu\u00e9. Les soi-disant \u00ab hackers \u00e9thiques \u00bb, c’est-\u00e0-dire ceux qui cherchent \u00e0 exposer les failles de s\u00e9curit\u00e9 plut\u00f4t qu’\u00e0 infliger des dommages, disposent de m\u00e9thodes simples<\/a> pour tester l’usurpation sur leurs propres ordinateurs.<\/p>\n \u00c0 part le fait d’\u00eatre redirig\u00e9, le DNS poisoning ne semble pas avoir d’effets \u00e0 long terme \u00e0 premi\u00e8re vue. En fait, il y en a – et nous en parlerons ensuite.<\/p>\n Un attaquant qui esp\u00e8re r\u00e9aliser un empoisonnement DNS sur un serveur a trois objectifs principaux :<\/p>\n Bien s\u00fbr, il n’est pas n\u00e9cessaire de faire preuve d’imagination pour comprendre pourquoi l’empoisonnement ou l’usurpation de DNS est un probl\u00e8me pour les FAI, les op\u00e9rateurs de serveurs et les utilisateurs finaux.<\/p>\n Comme nous l’avons mentionn\u00e9, l’usurpation d’identit\u00e9 est un \u00e9norme probl\u00e8me pour les FAI, \u00e0 tel point qu’il existe des outils comme le CAIDA Spoofer<\/a> pour les aider.<\/p>\n Il y a quelques ann\u00e9es, les statistiques montraient<\/a> qu’il y avait environ 30.000 attaques par jour. Ce chiffre a tr\u00e8s certainement augment\u00e9 depuis la publication du rapport. De plus, comme c’\u00e9tait le cas avec l’exemple de la section pr\u00e9c\u00e9dente, la diffusion de sites usurp\u00e9s sur un r\u00e9seau met en \u00e9vidence les probl\u00e8mes de confiance des utilisateurs, ainsi que les probl\u00e8mes de confidentialit\u00e9.<\/p>\n Peu importe qui vous \u00eates, il y a quelques risques lorsque vous \u00eates victime d’empoisonnement et d’usurpation :<\/p>\n Le DNS poisoning a aussi d’autres effets connexes. Par exemple, il se peut que vous ne puissiez pas appliquer de mises \u00e0 jour de s\u00e9curit\u00e9 sur votre syst\u00e8me pendant que le processus de r\u00e9cup\u00e9ration bat son plein. Cela laisse votre ordinateur vuln\u00e9rable pendant plus longtemps.<\/p>\n Prenez \u00e9galement en compte le co\u00fbt et la complexit\u00e9 de ce processus de nettoyage, car il touchera tout le monde le long de la cha\u00eene. Des prix plus \u00e9lev\u00e9s pour tous les services connect\u00e9s ne sont qu’un des points n\u00e9gatifs.<\/p>\n L’effort pour \u00e9liminer l’empoisonnement DNS est immense. \u00c9tant donn\u00e9 que l’empoisonnement affecte \u00e0 la fois les configurations c\u00f4t\u00e9 client et c\u00f4t\u00e9 serveur, le d\u00e9barrasser de l’un ne signifie pas qu’il a disparu de tous.<\/p>\n Il y a deux zones touch\u00e9es par l’empoisonnement DNS : c\u00f4t\u00e9 client et c\u00f4t\u00e9 serveur. Nous allons voir ce que vous pouvez faire pour emp\u00eacher cette attaque pr\u00e9judiciable des deux c\u00f4t\u00e9s.<\/p>\n Commen\u00e7ons par ce que fait l’Internet dans son ensemble du c\u00f4t\u00e9 du serveur.<\/p>\n Bien que nous ayons beaucoup parl\u00e9 de DNS tout au long de cet article, nous n’avons pas not\u00e9 \u00e0 quel point cette technologie est archa\u00efque. En bref, le DNS n’est pas le mieux adapt\u00e9 \u00e0 une exp\u00e9rience de navigation web moderne en raison de quelques facteurs. Pour commencer, il n’est pas crypt\u00e9, et sans certaines consid\u00e9rations de validation essentielles, cela emp\u00eacherait beaucoup d’attaques par empoisonnement DNS de se poursuivre.<\/p>\n Un moyen rapide d’emp\u00eacher les attaques de se renforcer est d’adopter une strat\u00e9gie de journalisation simple<\/a>. Cela permet d’effectuer une comparaison simple entre la requ\u00eate et la r\u00e9ponse pour voir si elles correspondent.<\/p>\n Cependant, la r\u00e9ponse \u00e0 long terme (selon les experts) est d’utiliser les extensions de s\u00e9curit\u00e9 du syst\u00e8me de noms de domaine (DNSSEC)<\/a>. Il s’agit d’une technologie con\u00e7ue pour lutter contre l’empoisonnement du DNS, et en termes simples, elle met en place diff\u00e9rents niveaux de v\u00e9rification.<\/p>\n Pour aller plus loin, DNSSEC utilise la \u00ab cryptographie \u00e0 cl\u00e9 publique \u00bb comme v\u00e9rification. Il s’agit d’un moyen de signer les donn\u00e9es comme \u00e9tant authentiques et dignes de confiance. Elle est stock\u00e9e avec tes autres informations DNS et le serveur r\u00e9cursif l’utilise pour v\u00e9rifier qu’aucune des informations qu’il re\u00e7oit n’a \u00e9t\u00e9 modifi\u00e9e.<\/p>\n Compar\u00e9 \u00e0 d’autres protocoles et technologies Internet, DNSSEC est relativement r\u00e9cent, mais il est suffisamment mature pour \u00eatre mis en \u0153uvre au niveau de la racine d’Internet, m\u00eame s’il n’est pas encore g\u00e9n\u00e9ralis\u00e9. Le DNS public de Google<\/a> est un service qui prend enti\u00e8rement en charge le DNSSEC, et d’autres apparaissent r\u00e9guli\u00e8rement.<\/p>\n Malgr\u00e9 cela, il y a encore quelques inconv\u00e9nients avec le DNSSEC qui m\u00e9ritent d’\u00eatre signal\u00e9s :<\/p>\n Malgr\u00e9 cela, DNSSEC est l’avenir, du moins du c\u00f4t\u00e9 serveur. Quant \u00e0 toi, en tant qu’utilisateur final, vous pouvez aussi prendre certaines mesures pr\u00e9ventives.<\/p>\n Il existe d’autres moyens d’emp\u00eacher l’empoisonnement du DNS c\u00f4t\u00e9 client, mais aucun n’est aussi robuste que le DNSSEC c\u00f4t\u00e9 serveur mis en \u0153uvre par un expert. N\u00e9anmoins, il y a quelques cases simples que vous pouvez cocher en tant que propri\u00e9taire de site :<\/p>\n En tant qu’utilisateur final, il y a quelques autres choses que vous pouvez faire pour aider \u00e0 emp\u00eacher l’empoisonnement et l’usurpation :<\/p>\n Bien que vous ne puissiez pas vous d\u00e9barrasser totalement de l’empoisonnement DNS, vous pouvez emp\u00eacher le pire de se produire. En tant qu’utilisateur final, vous n’avez pas beaucoup de contr\u00f4le sur la fa\u00e7on dont le serveur g\u00e8re les attaques. De m\u00eame, les sysadmins n’ont pas le contr\u00f4le de ce qui se passe dans le navigateur. C’est donc un travail d’\u00e9quipe pour emp\u00eacher cette attaque des plus n\u00e9fastes d’affecter l’ensemble de la cha\u00eene.<\/p>\n\n Les attaques sur Internet sont monnaie courante. Le DNS poisoning (ou spoofing) est une attaque courante qui peut affecter des millions d’utilisateurs si elle n’est pas v\u00e9rifi\u00e9e. Cela est d\u00fb au fait que le protocole DNS est ancien et inadapt\u00e9 \u00e0 la navigation web moderne – bien que des technologies plus r\u00e9centes se profilent \u00e0 l’horizon.<\/p>\n\n
Le processus de recherche DNS<\/h2>\n
![\"Les](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/automattic-map.png\")
![\"Le](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/what3words.png\")
\n
Mise en cache DNS<\/h3>\n
Ce qu’est le DNS poisoning<\/h2>\n
Comment fonctionne le sproofing DNS et le cache poisoning<\/h3>\n
\n
![\"Un](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/birthday-paradox.png\")
Exemples r\u00e9els de DNS poisoning<\/h3>\n
Pourquoi le DNS poisoning et le DNS sproofing sont-ils si nuisibles ?<\/h3>\n
\n
![\"Le](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/07\/spoofer-tool.png\")
\n
Comment pr\u00e9venir le DNS poisoning<\/h2>\n
Comment Internet essaie d’emp\u00eacher le DNS poisoning et le DNS sproofing c\u00f4t\u00e9 serveur<\/h3>\n
\n
Comment pr\u00e9venir le DNS poisoning c\u00f4t\u00e9 client<\/h3>\n
\n
\n
R\u00e9sum\u00e9<\/h2>\n