Avec la prise de conscience progressive des internautes de la menace de type "phishing" et la sortie de logiciels anti-spams et anti-phishing, les pirates se devaient de trouver une nouvelle forme de fraude. Son nom : le DNS poisoning.
Rappel de la notion de DNS
Le système DNS (Domain Name System) est le tableau de correspondance entre une adresse de type http://emarketing.typepad.com et son équivalent en adresse IP (adresse numérique).
DNS poisoning
Le DNS Cache Poisoning, cette nouvelle forme de phishing consistant à arnaquer l'internaute en le détournant à son insu de sites légitimes, semble faire ses premiers pas sur le web. Cette technique d'usurpation d'identité empoisonne les serveurs DNS (systèmes de noms de domaines) par l'envoi d'informations malicieuses.
Explication de l'expert de ZDNet : "Lorsque l'utilisateur tape une adresse internet légitime, si les DNS sont empoisonnés, il sera redirigé sans qu'il s'aperçoive de quoi que ce soit vers un autre site. Ce n'est pas la faute du navigateur, ni des serveurs, et l'entreprise dont le site est détourné peut ne s'apercevoir de rien non plus".
Prenons le cas d'un internaute saisissant une url dans son navigateur. Si l'adresse IP correspondante est manquante dans son fichier local, ce dernier envoie une requête au serveur DNS du FAI ou de l'entreprise par lesquels l'internaute se connecte. Dans le langage "technique", ce DNS est appelé un "resolver/cache". De par sa nature, il connaît quels sont les serveurs DNS devant être interrogés pour obtenir les adresses des différents noms de domaine. Cependant, certains resolvers/cache peuvent être trompés et pollués par les pirates de fausses informations renvoyant vers un autre site. Là, se trouve la faille tant recherchée par les pirates. Les fraudeurs peuvent par exemple envoyer de multiples requêtes vers le resolver/cache ainsi que des réponses empoisonnées masquées faisant comme si elles provenaient du serveur DNS autorisé à répondre pour ce domaine.
Process du DNS Cache Poisoning
On pourrait résumer le process en 3 étapes :
1) Corruption des caches DNS de plusieurs serveurs (cache poisoning).
2) Redirection des internautes d'un site de confiance (google.com, cnn.com, ebay.com...) vers un site frauduleux (7sir7.com, abx4.com...).
3) Tentative d'installation de plusieurs logiciels/fichiers suspicieux (adware, toolbar, trojan, ...).
Cette nouvelle menace a été présenté initialement par l'ISC (Internet Storm Center). Ce centre d'alerte américain nous avertit que plusieurs internautes ont été détournés de sites légitimes (comme Google et Ebay). Le "succès" du DNS poisoning est encore rare mais ce type d'attaques pourrait fort bien se généraliser dans les semaines à venir...
Posté par Anh Khoa Jonathan NGUYEN
En savoir plus
Comment ça marche ? - Le Domain Name System (DNS)
Rappel de la notion de DNS
Le système DNS (Domain Name System) est le tableau de correspondance entre une adresse de type http://emarketing.typepad.com et son équivalent en adresse IP (adresse numérique).
DNS poisoning
Le DNS Cache Poisoning, cette nouvelle forme de phishing consistant à arnaquer l'internaute en le détournant à son insu de sites légitimes, semble faire ses premiers pas sur le web. Cette technique d'usurpation d'identité empoisonne les serveurs DNS (systèmes de noms de domaines) par l'envoi d'informations malicieuses.
Explication de l'expert de ZDNet : "Lorsque l'utilisateur tape une adresse internet légitime, si les DNS sont empoisonnés, il sera redirigé sans qu'il s'aperçoive de quoi que ce soit vers un autre site. Ce n'est pas la faute du navigateur, ni des serveurs, et l'entreprise dont le site est détourné peut ne s'apercevoir de rien non plus".
Prenons le cas d'un internaute saisissant une url dans son navigateur. Si l'adresse IP correspondante est manquante dans son fichier local, ce dernier envoie une requête au serveur DNS du FAI ou de l'entreprise par lesquels l'internaute se connecte. Dans le langage "technique", ce DNS est appelé un "resolver/cache". De par sa nature, il connaît quels sont les serveurs DNS devant être interrogés pour obtenir les adresses des différents noms de domaine. Cependant, certains resolvers/cache peuvent être trompés et pollués par les pirates de fausses informations renvoyant vers un autre site. Là, se trouve la faille tant recherchée par les pirates. Les fraudeurs peuvent par exemple envoyer de multiples requêtes vers le resolver/cache ainsi que des réponses empoisonnées masquées faisant comme si elles provenaient du serveur DNS autorisé à répondre pour ce domaine.
Process du DNS Cache Poisoning
On pourrait résumer le process en 3 étapes :
1) Corruption des caches DNS de plusieurs serveurs (cache poisoning).
2) Redirection des internautes d'un site de confiance (google.com, cnn.com, ebay.com...) vers un site frauduleux (7sir7.com, abx4.com...).
3) Tentative d'installation de plusieurs logiciels/fichiers suspicieux (adware, toolbar, trojan, ...).
Cette nouvelle menace a été présenté initialement par l'ISC (Internet Storm Center). Ce centre d'alerte américain nous avertit que plusieurs internautes ont été détournés de sites légitimes (comme Google et Ebay). Le "succès" du DNS poisoning est encore rare mais ce type d'attaques pourrait fort bien se généraliser dans les semaines à venir...
Posté par Anh Khoa Jonathan NGUYEN
En savoir plus
Comment ça marche ? - Le Domain Name System (DNS)
Le DNS Poisoning toujours dans l'actualité.
http://solutions.journaldunet.com/0505/050510_dns.shtml
A noter aussi la défnition du DNS Pharming, très proche du DNS Poisoning
DNS Pharming : Attaque d'une ferme de serveurs DNS redirigeant tous vers une seule et même adresse.
Rédigé par : stéphane | 10 mai 2005 à 09:48
Excellent post!
Il est vrai que l'on avait oublié ce type d'attaques depuis quelques temps...
Rédigé par : Damien de Blignières | 10 mai 2005 à 19:24