Comment fonctionne le DNS Hijacking ?
Sommaire
I. Présentation
Le DNS hijacking est un type d'attaque malicieuse du service DNS, appelée aussi "Redirection DNS". L'objectif de cette attaque est d'écraser les paramètres TCP/IP d'un ordinateur afin de le diriger vers un serveur DNS pirate plutôt que son serveur DNS habituel.
Pour cela, l'attaquant doit déjà prendre le contrôle de la machine cible pour altérer les paramètres DNS. On parlera alors de DNS hijacking.
Pour rappel (car bien évidemment vous le savez), le protocole DNS est responsable de la translation entre les noms de domaine et les adresses IP. Par exemple, lorsque vous saisissez le nom de domaine "it-connect.fr" le serveur DNS se charge de trouver l'adresse IP correspondante à ce nom de domaine.
II. Comment ça fonctionne ?
Sur vos machines, vous utilisez généralement le DNS de votre entreprise, celui de votre box ou à la limite un DNS situé sur internet comme ceux de Google.
Jusqu'ici tout va bien, vous pouvez naviguer en toute sécurisé sur internet... Sauf qu'arrive un jour où un pirate ou un malware fait une intrusion sur votre machine, obtient donc un accès non autorisé et change vos paramètres DNS. Désormais, votre machine utilise le DNS qui appartient et est géré par le pirate.
Quand cela arrive, le serveur DNS pirate se fera un plaisir de faire la translation du nom de domaine de votre banque, moteur de recherche, Facebook, Twitter, etc.. vers l'adresse IP d'un site falsifié.
Vous vous retrouvez alors sur un site falsifié qui ressemble - en général - très fortement à l'original dans le but de récupérer des informations vous concernant. On parlera alors de site de Phishing.
Récapitulatif :
III. Comment s'en protéger ?
Je vous dirais bêtement installez un bon anti-virus et gardez-le à jour afin de bénéficier de la dernière base virale contenant les signatures de virus les plus récentes.
La protection passe également par la modification de votre comportement sur internet, en général ce type de malware est un cheval de troie (trojan). Plus précisément, c'est un programme qui d'apparence semble légitime alors qu'en fin de compte il infectera votre machine.
Notamment, on peut trouver ce type de trojan dans certains logiciels gratuits, dans les codecs audio et vidéo, etc...
IV. Cas réel : DNSChanger
Entre 2007 et 2011, DNSChanger était un trojan très actif, il était distribué par l'intermédiaire d'un téléchargement de codec vidéo nécessaire pour voir le contenu d'un site web, sur un site pornographique pirate pour être précis. Une fois installé, il modifiait la configuration DNS de la machine infectée afin de rediriger les requêtes DNS vers un serveur contrôlé par des pirates.
Ce trojan aurait rapporté à ses créateurs au moins 14 millions de dollars de profit. Ce sera mon mot de la fin qui vous fera sûrement prendre conscience de l'ampleur que peut avoir une telle attaque et de l'importance de la sécurité.
