DNS Spoofing : pourquoi vous ne devez pas faire confiance à un nom de domaine ?

Le protocole DNS (Domain Name Server) fait partie des fondations du web : alors que notre navigateur a besoin d’une adresse IP pour se connecter a un serveur, le DNS permet le passage d’une chaîne de caractère (telle que cybelangel.com) en adresse IP.

Plus simple à retenir qu’une adresse IP, représentant une marque ou un produit, le nom de domaine a de multiples avantages, cependant il est aussi truffé de failles et est de plus en plus utilisé par des cybercriminels pour voler des données sensibles.

Pour les pirates, il est difficile de résister a la tentation du phishing. Le principe est pour eux simple : envoyer des victimes sur un faux site pour récupérer leurs informations confidentielles telles que des mots de passe ou des coordonnées bancaires.

Pour nous cependant, l’éviter est un peu plus compliqué : il faut vérifier que le site sur lequel nous sommes est bien le bon, et la tache est plus ardue qu’elle n’en a l’air.

Un simple coup d’œil sur le lien que nous cliquons ne suffit en effet pas, car le progrès sur le net a aussi amené de nouveaux caractères dans les noms de domaine, grâce au récent support de l’UTF-8. Nous vous en parlions dans un precedent article, impossible alors de distinguer le A minuscule de facebook.com du A de l’alphabet cyrillique dans fаcebook.com, qui ne correspondent pourtant pas au même site.

Facile alors de se faire avoir, il faut bien penser a vérifier l’URL dans la barre de navigation de notre navigateur, qui elle devient beaucoup plus suspecte.

La nécessité de l’HTTPS lors de la rentré d’informations sensibles

Même si l’url dans votre bar de navigation vous indique que vous êtes sur le bon site, il est possible que votre ordinateur ait été trompé et qu’il ne dialogue finalement pas avec le bon serveur.

En effet, et en particulier si vous utilisez une borne Wifi publique, un ordinateur malicieux peut se placer entre vous et le serveur et ainsi intercepter vos donnés. Celui ci va alors changer l’IP du site que vous tentez d’atteindre en vous envoyant une mauvaise réponse DNS : l’adresse est bonne, mais l’IP devient dangereuse.

Afin de se prémunir de cette faille, il est impératif de sécuriser la connexion, afin d’être sur que le serveur d’en face est bel et bien celui a qui on veut envoyer des donnés. L’HTTPS est alors le protocole de navigation sécurisé : il certifie que le serveur est le bon grâce a des clés asymétriques.

Dans le cas contraire, vous pourriez sans le vouloir envoyer vos informations confidentielles a un pirate qui aurait compromis votre requête DNS.

Dois-je croire mes mails?

Le champs From du mail, qui affiche l’expéditeur, est quelque chose de très facilement falsifiable, et n’est donc en aucun cas une preuve d’une quelconque origine de confiance. Cependant afin de lutter massivement contre le spam et le phishing par mail, une nouvelle information est envoyé avec l’IP du serveur lors d’une requête DNS : les adresses IP de confiance qui ont l’autorisation d’envoyer des mails avec ce nom de domaine.

Ainsi avec cette nouvelle information, votre gestionnaire de mail va classer en ‘spam’ tout mail qui ne viendrait pas d’une IP autorisée, évacuant une bonne partie des mails de phishing.

Cependant, si le nom de domaine est falsifie, avec de nouveau de l’UTF-8 par exemple, ce processus est totalement inefficace et il est alors très difficile de ne pas croire l’adresse d’expédition du mail.

Conclusion: la sécurisation du protocole en lui même reste lente

Malgré des initiatives pour mieux sécuriser le protocole DNS, telle que DNSSEC par exemple, celui ci a du mal a évoluer tant il est utilise et indispensable de nos jours. En attendant, ne vous fiez pas souvent au nom de domaine, ils sont simplement et encore beaucoup trop falsifiables.

Suggestions