L'actualité de la sécurité informatique en ce début d'année 2005 aura été notamment
marquée par la réapparition des attaques sur les serveurs
de noms de domaines (DNS). En février, deux organisations
indépendantes, le Sans Institute et l'Internet Systems Consortium
lancent des alertes face à la découverte de nouvelles attaques
de ce type.
Deux mois plus tard, trois grands sites : Americanexpress.com,
Fedex.com et Trendmicro.com en font les frais. Connues des
sociétés spécialisées dans la sécurité, les attaques sur les
serveurs de noms de domaines consistent à rediriger tout trafic
Internet en provenance du serveur DNS attaqué vers une autre
adresse IP. Ce type d'attaques, en vogue au début des années
2000, a progressivement laissé place aux virus à propagation
par envoi massif de courriers (mass-mailers).
"Nous
sommes à la convergence de plusieurs tendances. Le phishing
[NDLR : arnaque en ligne] progresse et, dans ce cadre, l'intérêt
d'une attaque DNS consiste pour le pirate informatique à se libérer de
l'utilisateur. Il n'y a plus besoin d'interactions, par contre
il peut ensuite installer des programmes supplémentaires sur
son poste à son insu", affirme Sébastien Talha, consultant
en sécurité chez l'éditeur McAfee.
En effet, la majorité des attaques de phishing actuelles
nécessitent l'envoi de plusieurs milliers de courriers électroniques
dans lesquels un lien redirigera l'utilisateur vers un site
frauduleux. Une autre technique consiste à ouvrir un pop-up
sur le site et à attendre que les internautes s'y dirigent.
Mais quelle que soit la manière, l'arnaque nécessite un événement
de l'utilisateur, ce qui au final se traduit par un taux de
transformation de l'ordre de 0,5 à 3%, selon les chiffres
des experts.
Les
attaques DNS suppriment la nécessité d'interaction
avec l'utilisateur. |
Avec l'attaque des serveurs de noms de domaines, le pirate
s'assure que tous les utilisateurs souhaitant accéder à un
site donné seront automatiquement redirigés vers une adresse
IP préalablement choisie. Il ne lui reste plus alors qu'à
parfaire la copie du site en question, par exemple le site
d'une grande banque, pour recueillir les informations confidentielles
de l'internaute. Une menace encore sous-exploitée par les
hackers mais qui inquiètent déjà les éditeurs.
"La situation pourrait être bien pire que ça. Aujourd'hui,
les attaques DNS redirigent vers un seul site et toujours
vers le même site donc l'internaute s'en rend compte rapidement.
Mais, à l'avenir, les hackers pourraient ne rediriger qu'une
partie du trafic vers un site contrefait, compliquant ainsi
sa détection", ajoute Sébastien Talha. Autre risque pour l'internaute,
la combinaison d'attaques, toujours dans un but lucratif.
Ainsi, une contamination multiple de serveurs DNS pourrait
être utilisée afin de mener une attaque en déni de services
(DDoS). En redirigeant un grand nombre d'internautes sur un
seul site, le pirate augmente artificiellement le nombre de
requêtes Web sur le site en question et surcharge les serveurs
de la cible. Plus facile à mettre en uvre, les attaques DNS
favorisent la propagation de PC "zombies" ou bots.nets en
installant à distance, un logiciel espion ou un ver à partir
du site vers lequel le serveur redirige l'internaute.
Enfin, une dernière possibilité se présente : la redirection
d'emails. "En ciblant une société de façon ponctuelle, les
hackers pourraient récupérer leurs propositions commerciales
ou autres envois confidentiels adressés par email. Un serveur
de courrier MX dispose d'une adresse IP sur Internet. Si la
personne obtient cette adresse et la change, le trafic sera
également redirigé", analyse Sébastien Talha. Un scénario
catastrophe qui nécessite un périmètre de sécurité assez faible
ou l'exploitation de vulnérabilités.
Or l'exploitation de failles fait recette à la fois dans
les virus mais aussi dans les attaques DNS. Ainsi, lors de
l'attaque contre les sites Americanexpress.com, Fedex.com
et Trendmicro.com, ce sont des vulnérabilités présentes dans
l'installation par défaut du serveur DNS de Windows NT4 et
Windows 2000 qui ont été utilisées. Depuis le SP3 de Windows
2000, cette vulnérabilité a été corrigée par Microsoft.
La terminologie
des attaques DNS
|
DNS Cache Poisonning : phase
qui consiste à s'introduire dans la mémoire
cache des serveurs de noms de domaines pour y changer
la table de redirections des adresses IP
DNS Pharming : Attaque d'une ferme de serveurs
DNS redirigeant tous vers une seule et même adresse.
|
|