Nouvelles

Protéger nom de domaine contre DNS-hijacking

21 mai 2019

Lors d’un DNS-hijacking, les visiteurs de votre site sont détournés vers une autre page web parce que vos données DNS ont été trafiquées. Comment cela se passe-t-il concrètement et comment protéger votre nom de domaine contre pareil fléau?

Qu’est-ce que le DNS-hijacking ?

Le Domain Name System traduit votre nom de domaine en une adresse IP numérique liée à un ordinateur, quelque part sur internet. Sur cet ordinateur, se trouve votre site web par exemple. Ce qui lui permet alors de déverrouiller le trafic détourné qui était chiffré et de lire les données. 

En cas de DNS-hacking, les paramètres DNS de votre nom de domaine sont trafiqués, ce qui permet aux pirates non seulement de suivre le trafic vers votre site, mais aussi de le détourner vers un autre site, sous leur propre contrôle.

Supposons par exemple que des pirates aient dérobé les données DNS d'une banque. Ils peuvent ensuite, selon différentes méthodes, prendre connaissance des codes d’accès des clients et les orienter vers un site fictif, parfaitement semblable à celui de la banque. Les clients tapent leur nom et leur mot de passe et le fraudeur les intercepte pour exécuter des transactions sur le ‘vrai’ site. Dans ce cas de figure, il est fort probable que la méfiance soit éveillée puisque les clients ne pourront pas effectuer de transactions sur le site fictif.

La deuxième méthode consiste à ce que le fraudeur emmène les clients vers le vrai site de la banque où il dérobe leurs codes d’accès pour les utiliser plus tard. Cette méthode est plus dangereuse parce qu'on n'est pas du tout conscient qu’il existe un problème.

Comment se déroule une attaque DNS-hijack ?

Plusieurs techniques peuvent être utilisées pour perpétrer une attaque DNS-hijack.

  • En premier lieu, les fraudeurs doivent prendre possession des codes d’accès de la personne ou du compte qui a accès aux données DNS et qui est habilité à les modifier. Cela peut être le responsable informatique, le webmaster, un développeur. Pour ce faire, toutes sortes de techniques sont possibles : usurpation d’identité, hameçonnage ou hameçonnage ciblé (sur une personne en particulier), keylogger (matériel ou logiciel capable de capter ce que vous tapez sur le clavier), ....
  • Le fraudeur utilise ensuite ces données pour se connecter. Il peut alors modifier les DNS-records : A-records (adresse), MX-records (Mail Exchanger), NS-records (Name Server). Il remplace les données existantes par celles d’une adresse qu’il contrôle. Ce qui lui permet de dévier le trafic vers sa propre infrastructure. Ou il observe le trafic avant de l’orienter vers sa destination normale.
  • Le fraudeur peut aussi demander un certificat de cryptage valable au nom de votre domaine. Ce certificat de cryptage ou SSL est nécessaire pour établir une liaison https sécurisée entre l’ordinateur de l’utilisateur et un site web. Comme le fraudeur peut prouver qu’il a, à ce moment, le contrôle du domaine, il peut demander un nouveau certificat – par exemple via Let's Encrypt.

Comment se protéger contre une attaque DNS-hijack ?

Le nombre d’attaques DNS-hijacking a fortement augmenté depuis peu. Le département américain Homeland Security (DHS) recommande de prendre rapidement les quatre mesures suivantes :

  1. Vérifiez vos DNS-records. Aussi bien pour les serveurs DNS primaires que secondaires, vérifiez s’ils renvoient bien à l’adresse souhaitée. Et renouvelez ce contrôle régulièrement.
  2. Changez les mots de passe de tous les comptes qui ont accès aux systèmes où des changements peuvent être apportés aux DNS-records.
  3. Activez l’authentification multifactorielle (MFA) pour tous les comptes situés sur des systèmes où des changements peuvent être apportés aux DNS-records. Par ordre de préférence : U2F (universal 2 factor ), TOTP (One Time Password basé sur le temps), HOTP (HMAC ou One Time Password crypté), SMS passcode.
  4. Vérifiez les registres Certificate Transparancy pour voir si des certificats ont été émis pour votre nom de domaine alors qu’ils n’avaient pas été demandés. Vous pouvez le faire par exemple sur https://crt.sh/

Suivez encore ces conseils pour protéger vos données DNS

  • Vérifiez qui dispose d’un accès admin à vos systèmes et limitez cet accès au strict nécessaire.
  • Utilisez des mots de passe sécurisés. Conseils pour un mot de passe renforcé et sûr : voir notre article "Conseils pour plus de sécurité sur internet"
  • Veillez aussi à sécuriser l’adresse mail que vous utilisez pour communiquer avec votre agent (l’entreprise où vous avez enregistré votre nom de domaine - utilisez à cet effet une authentification multifactorielle et un mot de passe renforcé. Cette adresse est utilisée notamment dans la procédure ‘mot de passe oublié’. N’utilisez pas d’adresse mail personnelle (utilisateur@gmail.com) mais une adresse de votre organisation (service@votreentreprise.be)
  • Veillez à ce que toutes les mises à jour de sécurité pour votre système soient opérationnelles.
  • Vérifiez les logfiles de votre système/site web pour détecter tout tentative d’accès non autorisé.
  • Vérifiez chaque DNS-record relevant de votre compétence et via l’historique, vérifiez s’il y a eu des changements.
  • Apprenez à vos collaborateurs à reconnaître une attaque de hameçonnage (ou de phishing ).

Autres mesures pour protéger votre nom de domaine .be

Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.