Yassine Ksibi STIC-L3-SR-A

TNP : Sécurité des services et des systèmes

Définition :
Le DNS, acronyme de « Domain Name System », est un système mondial permettant de convertir
les domaines en adresses IP. Le DNS fournit une adresse IP pour chaque nom de domaine. Ce
processus est appelé « résolution de nom ».
Pour que la résolution de nom puisse fonctionner, l’adresse IP d’un serveur DNS doit être
enregistrée sur chaque terminal. Le terminal adresse ses requêtes DNS à ce serveur qui procède à
la résolution de nom et renvoie une réponse. Si aucun serveur DNS n’est paramétré sur un
terminal, le serveur du routeur local est automatiquement utilisé.

Ses principaux composants :

 Base de données : arbre DNS et enregistrements des ressources (Resource Records ou RR).
 Serveurs de nom : répondent aux requêtes.
 Clients : librairie logicielle, appelée résolveur, envoie des requêtes aux serveurs de nom.

Vulnérabilités du DNS :
 La principale vulnérabilité est le fait que le serveur n’est pas capable de vérifier
l’authenticité de l’adresse IP reçue.
 Possibilité d’usurpation d’identité.
 Possibilité d’effectuer des mises à jour non autorisées (les fichiers de mises à jour ne
sont pas protégés).
 Les fichiers de transfert de zone sont très vulnérables car ils ne bénéficient d’aucune
protection. En effet, aucun mécanisme ne garantit l’intégrité des messages et
l’authentification de la source  possibilité de falsification du fichier de zone

Attaque spécifique au DNS : DNS Spoofing

Le terme Spoofing signifie « usurpation » ou « falsification ». Le DNS Spoofing désigne quant à lui
différents scénarios dans lesquels une manipulation est opérée sur la résolution de nom DNS.
L’adresse IP correspondant à un domaine est en particulier faussée. Le terminal établit donc une
connexion avec la mauvaise adresse IP et le trafic de données est redirigé vers le mauvais serveur.
Voici un exemple :
Yassine Ksibi STIC-L3-SR-A

  Requête au serveur DNS Adresse IP renvoyée

État normal « exemple.com » « 93.184.216.34 »

DNS Spoofing « exemple.com » « 192.0.2.34 » (exemple)

Comme la résolution de nom se déroule majoritairement en arrière-plan, la victime n’a

généralement pas conscience de cette manipulation. L’une des spécificités particulièrement
perfides du DNS Spoofing réside dans le fait que le bon nom de domaine est indiqué dans le
navigateur

Principe

Le client souhaite établir une connexion avec le site internet https://exemple.com et est
trompé sur sa destination.
 d1. Le client (c’est-à-dire le navigateur du terminal) consulte tout d’abord l’adresse IP
correspondant au nom d’hôte exemple.com depuis le serveur DNS.
 d2. Le client reçoit une réponse à la requête mais celle-ci contient une fausse adresse
IP. La connexion avec le serveur légitime d’exemple.com n’est donc pas établie.
 h1. À la place, le client envoie la requête à l’hôte malveillant qui se trouve derrière la
fausse adresse IP.
 h2. L’hôte malveillant fournit une page d’apparence légitime au client. L’attaque peut
toutefois être identifiée à l’absence de certificat de sécurité pour le domaine falsifié.
Yassine Ksibi STIC-L3-SR-A

 (A, B, C) : différents points de départ exploitables pour un DNS Spoofing : sur le client
ou le routeur local, sur la connexion réseau, sur le serveur DNS.

Les services visés

Cette attaque vise la Confidentialité et l’Intégrité car c’est une attaque de usurpation . Elle
vise aussi l’authentification puisque le client ne possède aucun moyen pour vérifier
l’authenticité des réponses.

Les risques du DNS Spoofing

Le DNS Spoofing comporte en particulier les risques suivants :
 Le vol de données confidentielles : les attaques de Spear Phishing et de Pharming
permettent de voler des données sensibles comme des mots de passe. Ces données
sont souvent utilisées pour pénétrer dans des systèmes informatiques ou pour
réaliser des escroqueries.
 L’infection du système par un malware : la victime est incitée à installer des
programmes malveillants sur son système. Ces programmes ouvrent la porte à
d’autres attaques et à un espionnage total par les hackers.
 La consultation d’un profil d’utilisateur complet : les données personnelles collectées
dans ce cadre sont alors revendues ou utilisées pour des attaques de Spear Phishing.
 Le danger d’une menace persistante : la communication est compromise dès lors
qu’un serveur DNS malveillant est paramétré sur le système. Même les réponses DNS
temporairement falsifiées demeurent dans le cache et peuvent causer des
dommages sur la durée.

Mécanisme de Protection :
Utiliser un cryptage pour se protéger du DNS Spoofing
De façon générale, les procédures de cryptage offrent deux avantages essentiels :
1. Les données sont protégées contre un accès par des tiers non autorisés.
2. L’authenticité de l’autre interlocuteur de la communication est garantie.
Le second point est tout particulièrement critique dans la lutte contre le DNS
Spoofing : si l’hacker se fait passer pour un hôte légitime, cela entraînera une erreur
de certificat côté utilisateur dévoilant ainsi toute tentative d’escroquerie.
Yassine Ksibi STIC-L3-SR-A

Références

[1] : https://www.ionos.fr/digitalguide/serveur/securite/dns-spoofing/