Académique Documents
Professionnel Documents
Culture Documents
Vulnérabilités du DNS :
La principale vulnérabilité est le fait que le serveur n’est pas capable de vérifier
l’authenticité de l’adresse IP reçue.
Possibilité d’usurpation d’identité.
Possibilité d’effectuer des mises à jour non autorisées (les fichiers de mises à jour ne
sont pas protégés).
Les fichiers de transfert de zone sont très vulnérables car ils ne bénéficient d’aucune
protection. En effet, aucun mécanisme ne garantit l’intégrité des messages et
l’authentification de la source possibilité de falsification du fichier de zone
Principe
Le client souhaite établir une connexion avec le site internet https://exemple.com et est
trompé sur sa destination.
d1. Le client (c’est-à-dire le navigateur du terminal) consulte tout d’abord l’adresse IP
correspondant au nom d’hôte exemple.com depuis le serveur DNS.
d2. Le client reçoit une réponse à la requête mais celle-ci contient une fausse adresse
IP. La connexion avec le serveur légitime d’exemple.com n’est donc pas établie.
h1. À la place, le client envoie la requête à l’hôte malveillant qui se trouve derrière la
fausse adresse IP.
h2. L’hôte malveillant fournit une page d’apparence légitime au client. L’attaque peut
toutefois être identifiée à l’absence de certificat de sécurité pour le domaine falsifié.
Yassine Ksibi STIC-L3-SR-A
(A, B, C) : différents points de départ exploitables pour un DNS Spoofing : sur le client
ou le routeur local, sur la connexion réseau, sur le serveur DNS.
Mécanisme de Protection :
Utiliser un cryptage pour se protéger du DNS Spoofing
De façon générale, les procédures de cryptage offrent deux avantages essentiels :
1. Les données sont protégées contre un accès par des tiers non autorisés.
2. L’authenticité de l’autre interlocuteur de la communication est garantie.
Le second point est tout particulièrement critique dans la lutte contre le DNS
Spoofing : si l’hacker se fait passer pour un hôte légitime, cela entraînera une erreur
de certificat côté utilisateur dévoilant ainsi toute tentative d’escroquerie.
Yassine Ksibi STIC-L3-SR-A
Références
[1] : https://www.ionos.fr/digitalguide/serveur/securite/dns-spoofing/