Mimecast Logo
Obtenir un devis

    Espionnage DNS

    Mimecast Web Security ajoute une surveillance et une sécurité au niveau de la couche DNS pour arrêter l'usurpation d'identité DNS, l'empoisonnement du cache DNS, les malwares et autres activités web malveillantes.
    Planifier une démonstration
    Espionnage DNS
    Planifier une démonstration
    Présentation

    Qu'est-ce que le DNS spoofing ?

    L'usurpation du système de noms de domaine (DNS), également communément appelée empoisonnement du cache DNS, est une cyberattaque par laquelle des enregistrements ou des communications DNS sont interceptés et modifiés afin d'acheminer les utilisateurs vers une adresse IP différente.

    Dans une attaque par usurpation d'identité, le trafic provenant de serveurs légitimes est redirigé vers des sites frauduleux qui peuvent ressembler au site valide que l'utilisateur final essayait d'atteindre. Ces attaques peuvent se produire de manière transparente sans que l'utilisateur n'ait la moindre indication de ce qui se passe.

    Lorsque l'utilisateur arrive sur le faux site, il peut être invité à saisir ses identifiants de connexion ou à révéler des données sensibles telles que des données de carte de crédit, des numéros de compte bancaire et des informations de sécurité sociale.

    Les attaquants peuvent alors utiliser ces informations pour voler de l'argent, des données et des identités, ou pour accéder aux réseaux d'entreprise afin de lancer d'autres attaques.

    Une fois qu'un enregistrement DNS a été usurpé, le cyber-attaquant peut installer des vers ou des virus sur l'ordinateur de l'utilisateur, ce qui lui donne un accès illimité aux données fournies.

    Comment fonctionne l'usurpation de nom de domaine (DNS spoofing) ?

    Pour bien comprendre le fonctionnement de l'usurpation de DNS, il est utile de savoir comment l'internet achemine les utilisateurs vers les sites web.

    Chaque serveur possède sa propre empreinte, appelée adresse IP (Internet Protocol), qui se compose d'une série de chiffres. Chaque adresse IP est associée à un nom de domaine correspondant(www.example.com). qui dirige correctement les utilisateurs vers le site web.

    Pour usurper un DNS, les cyberattaquants trouvent et exploitent les faiblesses de ce processus afin de rediriger le trafic vers une adresse IP illégitime et un faux site web.

    3 méthodes différentes d'empoisonnement du cache DNS

    Il existe plusieurs types d'usurpation de DNS, mais les trois plus courants sont les suivants :

    - Duplication de l'homme du milieu : Le pirate s'intercale entre votre navigateur et le serveur DNS pour les infecter tous les deux à l'aide d'un outil qui empoisonne de manière synchrone votre appareil local et le serveur DNS. Il en résulte une redirection vers un site malveillant hébergé sur le serveur local de l'attaquant.

    - Empoisonnement du cache DNS par le spam : Les URL incluses dans les courriels de spam et les bannières publicitaires sur des sites web non fiables sont compromises par un virus. Lorsque l'utilisateur clique sur l'URL, son ordinateur est infecté par le virus contenu dans l'URL malveillante. Une fois infecté, l'appareil de l'utilisateur se dirige vers de faux sites web qui ressemblent à s'y méprendre à des sites réels.

    - Détournement du serveur DNS : le cyber-attaquant reconfigure le serveur pour diriger tout le trafic vers le domaine usurpé.

    Les dangers de l'usurpation de nom (DNS spoofing)

    Les attaques DNS représentent 91% des attaques de malware, et une requête web sur 13 conduit à un malware.

    Les risques sont les suivants :

    - Vol de données

    - Infection par un logiciel malveillant

    - Censure

    - Des mises à jour de sécurité interrompues qui peuvent exposer votre appareil à des menaces supplémentaires.

    Malgré les dangers de l'usurpation de DNS et d'autres activités malveillantes, la plupart des organisations ne surveillent pas du tout leur activité DNS. Pourtant, l'augmentation du spoofing DNS et d'autres attaques liées au DNS montre clairement que les organisations doivent déployer des solutions anti-spoofing ainsi qu'une technologie de surveillance qui permet de savoir ce qui se passe au niveau de la couche DNS.  

    Comment fonctionne la web security

    Lorsqu'un utilisateur demande à accéder à Internet en saisissant une adresse dans son navigateur ou en cliquant sur un lien dans un courriel ou sur un site web, une requête DNS est transmise au service de web security deMimecast . Lorsque Mimecast inspecte et résout la requête DNS, les politiques d'utilisation acceptable établies par l'organisation sont appliquées à la requête, bloquant l'accès au contenu jugé inapproprié pour une utilisation professionnelle. Dans le même temps, le site web cible est analysé à la recherche de contenu malveillant. Si le site est considéré comme sûr, l'utilisateur peut y accéder immédiatement. En revanche, si le site est jugé suspect ou malveillant, Mimecast bloque l'accès au site et l'utilisateur en est informé par un message dans le navigateur.

    Exemples d'usurpation de DNS & Attaques par empoisonnement du cache DNS

    Les cyberattaquants emploient des tactiques de plus en plus sophistiquées pour réaliser des usurpations de DNS. Bien qu'il n'y ait pas deux attaques identiques, un scénario d'usurpation de DNS pourrait ressembler à ce qui suit :

    1. L'attaquant intercepte les communications entre un client et un ordinateur serveur appartenant au site web ciblé.

    2. à l'aide d'un outil tel que arpspoof, l'attaquant peut tromper le client et le serveur en leur faisant suivre des adresses IP malveillantes qui mènent au serveur de l'attaquant.

    3. l'attaquant crée un faux site web vers lequel l'adresse IP malveillante dirigera les utilisateurs dans le but d'obtenir des informations sensibles. 

     

    FAQ sur l'usurpation d'identité DNS

    Le DNS désigne le système de noms de domaine (ou serveur de noms de domaine), qui traduit les noms de domaine que les utilisateurs peuvent lire en adresses IP que les machines peuvent lire. Chaque appareil connecté à l'internet possède une adresse IP unique qui permet aux autres machines de le trouver. Le DNS évite aux utilisateurs de mémoriser des adresses IP longues et complexes et leur permet d'utiliser des noms de domaine plus simples.

    La meilleure façon de détecter l'empoisonnement du cache DNS est d'utiliser une solution d'analyse de données pour surveiller le comportement du DNS. Ce qui peut signaler un empoisonnement du DNS :


    • Augmentation de l'activité DNS à partir d'une source qui interroge votre serveur DNS pour plusieurs noms de domaine sans retour.
    • Augmentation anormale de l'activité DNS d'une single source vers un seul domaine.
    1. Ne cliquez pas sur des liens inconnus.
    2. Videz votre cache DNS pour purger les données infectées.
    3. Utilisez un réseau privé virtuel (VPN) pour canaliser l'ensemble de votre trafic web via des serveurs cryptés de bout en bout.
    4. Vérifiez que la barre d'adresse de votre URL ne contient pas de fautes d'orthographe afin de vous assurer que vous êtes dirigé vers le bon site.

    Ressources connexes sur l'usurpation d'identité DNS

    Resources_06.jpg
    Web Security

    NIS2 Impact Assessment Checklist: Ensure Compliance

    Datasheet
    Resources_18.jpg
    Web Security

    NIS2 Compliance Blueprint: Your Guide to Meeting Regulatory Requirements

    Datasheet
    Phishy Business -04.jpg
    Web Security

    Episode #10, Season 3 of Phishy Business: The Internet Tattoo Effect and Common Sense Online Safety

    Podcast
    Haut de la page