Comment fonctionne le DNS Hijacking ?

I. Présentation

Le DNS hijacking est un type d'attaque malicieuse du service DNS, appelée aussi "Redirection DNS". L'objectif de cette attaque est d'écraser les paramètres TCP/IP d'un ordinateur afin de le diriger vers un serveur DNS pirate plutôt que son serveur DNS habituel.

Pour cela, l'attaquant doit déjà prendre le contrôle de la machine cible pour altérer les paramètres DNS. On parlera alors de DNS hijacking.

Pour rappel (car bien évidemment vous le savez), le protocole DNS est responsable de la translation entre les noms de domaine et les adresses IP. Par exemple, lorsque vous saisissez le nom de domaine "it-connect.fr" le serveur DNS se charge de trouver l'adresse IP correspondante à ce nom de domaine.

II. Comment ça fonctionne ?

Sur vos machines, vous utilisez généralement le DNS de votre entreprise, celui de votre box ou à la limite un DNS situé sur internet comme ceux de Google.

Jusqu'ici tout va bien, vous pouvez naviguer en toute sécurisé sur internet... Sauf qu'arrive un jour où un pirate ou un malware fait une intrusion sur votre machine, obtient donc un accès non autorisé et change vos paramètres DNS. Désormais, votre machine utilise le DNS qui appartient et est géré par le pirate.

Quand cela arrive, le serveur DNS pirate se fera un plaisir de faire la translation du nom de domaine de votre banque, moteur de recherche, Facebook, Twitter, etc.. vers l'adresse IP d'un site falsifié.

Vous vous retrouvez alors sur un site falsifié qui ressemble - en général - très fortement à l'original dans le but de récupérer des informations vous concernant. On parlera alors de site de Phishing.

Récapitulatif :

dnshijacking

III. Comment s'en protéger ?

Je vous dirais bêtement installez un bon anti-virus et gardez-le à jour afin de bénéficier de la dernière base virale contenant les signatures de virus les plus récentes.

La protection passe également par la modification de votre comportement sur internet, en général ce type de malware est un cheval de troie (trojan). Plus précisément, c'est un programme qui d'apparence semble légitime alors qu'en fin de compte il infectera votre machine.

Notamment, on peut trouver ce type de trojan dans certains logiciels gratuits, dans les codecs audio et vidéo, etc...

IV. Cas réel : DNSChanger

Entre 2007 et 2011, DNSChanger était un trojan très actif, il était distribué par l'intermédiaire d'un téléchargement de codec vidéo nécessaire pour voir le contenu d'un site web, sur un site pornographique pirate pour être précis. Une fois installé, il modifiait la configuration DNS de la machine infectée afin de rediriger les requêtes DNS vers un serveur contrôlé par des pirates.

Ce trojan aurait rapporté à ses créateurs au moins 14 millions de dollars de profit. Ce sera mon mot de la fin qui vous fera sûrement prendre conscience de l'ampleur que peut avoir une telle attaque et de l'importance de la sécurité.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5502.Voir tous les posts

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.