Le DNS hijacking est un moyen utilisé par les pirates pour intercepter le trafic destiné à votre site web et le détourner vers d’autres sites. Comment font-ils concrètement et comment vous protéger contre ce type de menace ?
Qu’est-ce que le DNS hijacking ?
En résumé, le DNS hijacking est une méthode utilisée pour changer les données DNS de votre nom de domaine. Résultat ? Vos visiteurs ne sont plus dirigés vers l’ adresse IP numérique du serveur sur lequel votre nom de domaine pointe habituellement, mais vers l’adresse IP spécifiée par le pirate. Celui-ci peut même demander un certificat pour le nom de domaine détourné et l’installer sur les serveurs vers lequel il détourne le trafic afin que tout paraisse parfaitement normal et légitime.
Ce faisant, le pirate peut visualiser le trafic entrant vers votre domaine et intercepter les mails, les codes d’accès et les données qu’introduisent les utilisateurs dans vos applications en déviant le trafic vers un site spécialement créé à cet effet et ressemblant à s’y méprendre à votre propre site. Ce qui peut entraîner de sérieux dégâts pour les sites officiels d’institutions financières, de boutiques en ligne etc.
La menace est sérieuse
Le DNS hijacking peut être perpétré à petite échelle et se limiter, par exemple, à un changement isolé des paramètres du tableau de commande de votre hébergeur ou administrateur de domaine. Ces dernières semaines, ce type d’attaque a cependant été mené à beaucoup plus grande échelle. Dans plusieurs pays, les paramètres DNS d’organisations ont été (temporairement) modifiés. L’ ICANN et d’autres sociétés de sécurité comme FireEye avaient déjà publié des avertissements avant cette attaque de grande ampleur.
Les attaques proprement dites visent des organisations et des entreprises dans différents pays, dont le Liban et les Emirats arabes unis, mais aussi des organismes gouvernementaux américains. On ne sait pas encore si des données ont été dérobées.
Comment se protéger contre le DNS hijacking ?
En tant que titulaire d’un nom de domaine, propriétaire d’un site web, administrateur système ou hébergeur, vous devez tout mettre en œuvre pour empêcher tout changement non autorisé des données DNS.
Voici quelques conseils :
- Vérifiez qui a un accès ‘administrateur’ à vos systèmes et limitez ces accès à ce qui est strictement nécessaire.
- Utilisez des mots de passe sûrs. Voyez comment créer un mot de passe sûr et renforcé sur www.safeonweb.be.
- Si possible, surtout si vous êtes administrateur système, utilisez une méthode d’authentification multifactorielle lorsque vous vous connectez.
- Veillez à ce que toutes les mises à jour de sécurité soient installées sur votre système.
- Surveillez les registres d’accès de votre système/site web pour identifier tout accès non autorisé.
- Vérifiez également les registres de transparence des certificats pour voir si des certificats que vous n’avez pas demandés ont été émis pour votre nom de domaine. Pour cela, utilisez par exemple le site https://crt.sh/
- Vérifiez chaque enregistrement DNS placé sous votre contrôle et parcourez l’historique pour identifier les changements apportés.
Mesures de protection pour votre nom de domaine .be
- Domain guard (Registry lock)
- Certificat d'enregistrement
- DNSSEC
Avec cet article, nous contribuons à réaliser ces objectifs de développement durable de l’Organisation des Nations Unies.