En savoir plus

Il y a 5 ans : les serveurs DNS comme arme de paralysie

"Nous sommes à la convergence de plusieurs tendances. Le phishing [NDLR : arnaque en ligne] progresse et, dans ce cadre, l'intérêt d'une attaque DNS consiste pour le pirate informatique à se libérer de l'utilisateur. Il n'y a plus besoin d'interactions, par contre il peut ensuite installer des programmes supplémentaires sur son poste à son insu", affirme Sébastien Talha, consultant en sécurité chez l'éditeur McAfee.

En effet, la majorité des attaques de phishing actuelles nécessitent l'envoi de plusieurs milliers de courriers électroniques dans lesquels un lien redirigera l'utilisateur vers un site frauduleux. Une autre technique consiste à ouvrir un pop-up sur le site et à attendre que les internautes s'y dirigent. Mais quelle que soit la manière, l'arnaque nécessite un événement de l'utilisateur, ce qui au final se traduit par un taux de transformation de l'ordre de 0,5 à 3%, selon les chiffres des experts.

Avec l'attaque des serveurs de noms de domaines, le pirate s'assure que tous les utilisateurs souhaitant accéder à un site donné seront automatiquement redirigés vers une adresse IP préalablement choisie. Il ne lui reste plus alors qu'à parfaire la copie du site en question, par exemple le site d'une grande banque, pour recueillir les informations confidentielles de l'internaute. Une menace encore sous-exploitée par les hackers mais qui inquiètent déjà les éditeurs.

"La situation pourrait être bien pire que ça. Aujourd'hui, les attaques DNS redirigent vers un seul site et toujours vers le même site donc l'internaute s'en rend compte rapidement. Mais, à l'avenir, les hackers pourraient ne rediriger qu'une partie du trafic vers un site contrefait, compliquant ainsi sa détection", ajoute Sébastien Talha. Autre risque pour l'internaute, la combinaison d'attaques, toujours dans un but lucratif.

Ainsi, une contamination multiple de serveurs DNS pourrait être utilisée afin de mener une attaque en déni de services (DDoS). En redirigeant un grand nombre d'internautes sur un seul site, le pirate augmente artificiellement le nombre de requêtes Web sur le site en question et surcharge les serveurs de la cible. Plus facile à mettre en œuvre, les attaques DNS favorisent la propagation de PC "zombies" ou bots.nets en installant à distance, un logiciel espion ou un ver à partir du site vers lequel le serveur redirige l'internaute.

Enfin, une dernière possibilité se présente : la redirection d'emails. "En ciblant une société de façon ponctuelle, les hackers pourraient récupérer leurs propositions commerciales ou autres envois confidentiels adressés par email. Un serveur de courrier MX dispose d'une adresse IP sur Internet. Si la personne obtient cette adresse et la change, le trafic sera également redirigé", analyse Sébastien Talha. Un scénario catastrophe qui nécessite un périmètre de sécurité assez faible ou l'exploitation de vulnérabilités.

En savoir plus

Il y a 5 ans : les serveurs DNS comme arme de paralysie

Or l'exploitation de failles fait recette à la fois dans les virus mais aussi dans les attaques DNS. Ainsi, lors de l'attaque contre les sites Americanexpress.com, Fedex.com et Trendmicro.com, ce sont des vulnérabilités présentes dans l'installation par défaut du serveur DNS de Windows NT4 et Windows 2000 qui ont été utilisées. Depuis le SP3 de Windows 2000, cette vulnérabilité a été corrigée par Microsoft.