Guide pratique sur le détournement DNS : les bonnes pratiques en entreprise

Qu’est-ce que le détournement DNS ?

Lors d’une attaque par détournement DNS, un tiers redirige en toute transparence les visiteurs du site Web de votre entreprise vers de faux sites Web afin de voler leurs identifiants de connexion et d’autres données à leur insu. Les cybercriminels peuvent également collecter des informations à partir des e-mails d’entreprise pour lancer des campagnes d’hameçonnage sophistiquées et d’autres attaques qui semblent provenir de vos noms de domaine. Outre les risques liés à la sécurité des données et les atteintes à l’e-réputation, ce type d’attaques soulève d’importants soucis en matière de confidentialité, en particulier avec des réglementations telles que le règlement général sur la protection des données (RGPD) de l’Union européenne.

Comment se produit le détournement DNS ?

À la base, le DNS sert de carnet d’adresses Internet. Lorsqu’une personne saisit un nom de domaine dans un navigateur Web, le DNS le convertit en une adresse IP (Protocole Internet) correspondante (une chaîne de chiffres unique) que les navigateurs Web utilisent pour identifier la destination du trafic.

Pourquoi le DNS est indispensable :
il est relié aux

• Sites Internet

• API internes et externes

• Applications et e-mails

• VoIP et messagerie instantanée

• Intégration Cloud

• Authentification et contrôle - O365, DMARC, SPF, Google, DNSSEC

Le détournement DNS intervient lorsque des acteurs malveillants compromettent ce processus en modifiant les enregistrements DNS, en redirigeant les requêtes ou en prenant le contrôle des serveurs DNS, entraînant l’envoi de requêtes légales vers des sites malveillants sur différents environnements d’hébergement. Cette attaque peut se produire via des comptes de fournisseurs DNS compromis, des failles de sécurité dans les serveurs DNS ou une infrastructure réseau mal sécurisée, tels que les routeurs utilisant des identifiants par défaut.

Le détournement DNS comparé à d’autres menaces basées sur le DNS

Détournement DNS vs détournement de nom de domaine

Le détournement de domaine, ou détournement de noms de domaine, permet aux cybercriminels de prendre le contrôle total d’un nom de domaine en volant les identifiants du registrar ou en transférant frauduleusement les droits de propriété. Contrairement au détournement DNS, qui manipule les chemins de résolution sans nécessairement modifier les droits de propriété du nom de domaine, le détournement de noms de domaine permet aux cybercriminels de modifier les paramètres DNS, de transférer des noms de domaine ou de les retenir contre rançon, provoquant ainsi des perturbations prolongées. Le détournement de domaine inversé, en revanche, est une tactique de litige juridique dans laquelle une partie revendique frauduleusement des droits de marque afin de s’emparer d’un domaine appartenant à son propriétaire légitime, sans aucun lien avec le détournement DNS ou le détournement de nom de domaine. Pour en savoir plus à ce sujet, découvrez comment le cybersquattage, le typosquattage et d’autres litiges liés aux noms de domaine affectent les entreprises.

Détournement DNS vs empoisonnement du cache DNS

Lors d’une attaque par empoisonnement du cache DNS, les cybercriminels injectent de faux enregistrements DNS dans le cache d’un résolveur DNS. Cela conduit le résolveur à renvoyer une adresse IP incorrecte, interceptant et redirigeant les utilisateurs vers des sites Web malveillants. Les registres empoisonnés expirent généralement une fois le cache actualisé.

En redirigeant le trafic via le détournement ou l’empoisonnement du cache DNS, les cybercriminels peuvent inciter les utilisateurs à consulter des sites malveillants. L’empoisonnement du cache DNS est particulièrement dangereux, car il permet aux cybercriminels d’intercepter et de manipuler les communications, facilitant ainsi les attaques de type l’« homme du milieu » ("man-in-the-middle"). Le détournement du DNS, quant à lui, vise principalement à rediriger les utilisateurs vers des destinations contrôlées par les cybercriminels, où ils peuvent, à leur insu, saisir leurs identifiants ou télécharger des logiciels malveillants.

Attaque de l’homme du milieu (« Man-in-the-middle »)

• La connexion initiale entre l’utilisateur et le site web est interceptée et manipulée par un intermédiaire

Détournement de nom de domaine vs « domain-shadowing »

Le « domain-shadowing » est une autre menace basée sur le DNS dans laquelle ses auteurs utilisent des identifiants compromis pour accéder aux paramètres du nom de domaine. Au lieu de modifier les enregistrements DNS existants, ils créent de nouveaux sous-domaines malveillants à l’insu du propriétaire du nom de domaine. Contrairement au détournement DNS, qui redirige des noms de domaine entiers, le « domain-shadowing » maintient le nom de domaine principal opérationnel, ce qui rend sa détection plus difficile. Ces sous-domaines malveillants sont souvent utilisés à des fins d’hameçonnage ou de distribution de maliciels. Découvrez d’autres méthodes utilisées par les cybercriminels pour exploiter les sous-domaines.

Trois vecteurs d’attaque utilisés pour le détournement DNS

En cybersécurité, les vecteurs désignent des méthodes ou des chemins spécifiques par lesquels une opération est menée à bien. Dans le cadre d’un détournement DNS, les cybercriminels utilisent majoritairement trois vecteurs principaux.

Comment arrêter le détournement DNS

En cas de détournement DNS, il est recommandé d’agir immédiatement. Voici les principales mesures à prendre pour remédier à la violation :

1. Reprenez le contrôle de l’environnement DNS en accédant à votre compte de registrar de noms de domaine ou de fournisseur DNS et annulez toutes les modifications apportées par les cybercriminels. Veillez à ce que tous les enregistrements DNS pointent vers les serveurs appropriés afin de rétablir une connexion correcte.
2. Modifiez les mots de passe et activez l’authentification à deux facteurs pour vos comptes de registrar de noms de domaine et DNS afin de bloquer tout accès non authentifié.
3. Supprimez les entrées DNS malveillantes. Si les cybercriminels ont modifié les enregistrements DNS, remplacez les entrées malveillantes par les informations correctes pour votre site web ou votre service. Cela empêchera les utilisateurs d’être redirigés vers des sites malveillants.
4. Informez vos équipes internes, vos partenaires et vos clients de l’incident. Signalez-leur d’éviter les sites affectés jusqu’à ce que le problème soit résolu.
5. Surveillez le trafic DNS pour détecter tout signe de nouvelle altération et d’activité inhabituelle après avoir corrigé les enregistrements et les paramètres DNS.
6. Effectuez un audit de sécurité approfondi afin d’identifier les causes du détournement. Cela peut impliquer de renforcer vos défenses, par exemple en sécurisant votre fournisseur DNS, vos réseaux et vos comptes afin d’éviter de nouveaux incidents.

Comment atténuer le risque de détournement DNS

S’il est important de savoir comment mettre fin à un détournement DNS, il est surtout crucial d’empêcher un tel événement de se produire. Voici quelques stratégies pour vous prémunir contre le détournement DNS :

• Veillez à ce que vos comptes auprès de votre registrar de noms de domaine et de votre fournisseur DNS soient protégés par des mots de passe forts et uniques, une authentification à deux facteurs et une authentification unique (SSO). Ces mesures empêchent tout accès non autorisé à vos paramètres DNS.
• Mettez en place des extensions de sécurité du système des noms de domaine (DNSSEC) pour ajouter une couche de sécurité supplémentaire en vérifiant l’authenticité des réponses DNS.
• Vérifiez régulièrement les certificats SSL (Secure Sockets Layer) et TLS (Transport Layer Security) à l’aide d’une solution de gestion des certificats afin de vous assurer de leur validité, de leur configuration adéquate et de leur renouvellement dans les délais impartis. Cela permet d’empêcher les cybercriminels d’usurper l’identité de votre site Web en cas de tentative de détournement DNS.
• Protégez vos routeurs, serveurs et réseaux internes en modifiant les mots de passe par défaut, en utilisant un cryptage puissant et en mettant à jour tous les micrologiciels. Cette mesure limite les failles qui pourraient être exploitées pour infiltrer votre DNS.
• Contrôlez régulièrement les enregistrements DNS et le trafic afin de détecter tout changement inhabituel. Déceler rapidement les activités suspectes peut permettre d’empêcher une violation avant qu’elle ne se produise.
• Choisissez un fournisseur DNS réputé qui propose des mesures de sécurité rigoureuses et une surveillance constante. Un fournisseur de confiance est en mesure d’identifier les vulnérabilités et de vous alerter des menaces potentielles avant qu’elles ne se multiplient.

Comment un verrou de registre peut empêcher le détournement de noms de domaine

Protéger son entreprise contre le détournement DNS

CSC peut vous aider à lutter contre toute une série de menaces. DomainSec^SM vous fournit un aperçu holistique des failles de sécurité qui vous rendent vulnérable aux attaques. Des centaines de grandes entreprises internationales utilisent nos services de sécurité, tels que MultiLock, notre version du verrou de registre, pour protéger leur entreprise et leurs marques. Ces solutions constituent la méthode la plus efficace pour limiter les risques en cas d’attaque.