Sécurité - Le centre d'alerte américain ISC fait état de l'apparition d'une technique d'usurpation d'identité appelée "DNS poisoning". Elle consiste à pièger les serveurs DNS pour détourner les internautes, à leur insu, de sites légitimes.
Les serveurs DNS (systèmes de noms de domaine) semblent être devenus les nouvelles cibles des escrocs qui pratiquent le "phishing" pour arnaquer les internautes.
Jusqu'à présent, deux techniques de phishing étaient employées. D'abord l'envoi d'un e-mail frauduleux, invitant l'internaute à se rendre, par exemple, sur le site détourné d'une banque, pour y inscrire à nouveau ses coordonnées bancaires.
L'autre dispositif consiste à faire apparaître, sur un site légitime, un pop-up dont les fraudeurs contrôlent le contenu, en laissant croire à l'internaute qu'il a toujours à faire à son prestataire habituel. Ces deux méthodes peuvent toutefois être repérées grâce aux outils anti-spam et anti-phishing développée par les éditeurs de logiciels.
Pour contrer ces outils, les escrocs s'en prennent désormais aux serveurs DNS, selon une technique baptisée "DNS poisoning", que les spécialistes connaissent depuis longtemps, explique à ZDNet Frédéric Aoun, responsable scientifique pour la société Dolphian qui édite des logiciels antivirus et anti-spam.
«Lorsque l'utilisateur tape une adresse internet légitime, si les DNS sont empoisonnés, il sera redirigé sans qu'il s'aperçoive de quoi que ce soit vers un autre site. Ce n'est pas la faute du navigateur, ni des serveurs, et l'entreprise dont le site est détourné peut ne s'apercevoir de rien non plus», poursuit-il.
Google et Ebay parmi les sites détournés
«Le DNS est la brique de base d'internet qui permet de traduire une adresse du type www.cnet.com (facile à retenir par un humain) en une adresse IP (facile à utiliser par un ordinateur)», précise-t-il. Lorsqu'un internaute tape une url dans son navigateur, si celui-ci ne trouve pas l'adresse IP correspondante dans son fichier local, il envoie une requête au serveur DNS du fournisseur d'accès ou de l'entreprise par lesquels l'internaute se connecte. «Ce DNS est appelé un "resolver/cache". Il sait quels serveurs DNS il doit interroger pour aller chercher les adresses des différents noms de domaine», poursuit Frédéric Aoun.
«Or, certains resolvers/cache peuvent être trompés pour que les informations mémorisées pointent vers un autre site. L'année dernière, une faille sur une passerelle de sécurité de Symantec permettait une telle attaque». Selon lui, il est également possible «d'envoyer une rafale de requêtes vers le resolver/cache et en même temps des réponses (empoisonnées) comme si elles venaient du serveur DNS autorisé à répondre pour le domaine en question».
Depuis la semaine dernière, plusieurs tentatives de ce genre ont été détectées par l'Internet Storm Center, un centre d'alerte géré par l'institut SANS (SysAdmin, Audit, Network, Security). Il rassemble de nombreux experts en sécurité dans tous les domaines. Selon ses observations, des ordinateurs d'internautes ont été détournés de sites légitimes, y compris ceux de Google et d'Ebay, et emmenés vers des serveurs qui ont immédiatement essayé d'installer des "spywares".
Les entreprises peu sensibilisées à ces problèmes
Jason Lam, membre du ISC, estime que cela concerne une trentaine de réseaux. «C'est difficile de dire combien de personnes ont été touchées par ce phénomène, mais ce n'était pas très répandu», relativise-t-il toutefois.
«L'impact de cet empoisonnement n'est pas généralisé (pour tout l'internet), mais touche les utilisateurs directs du resolver/cache en question (tous les abonnés d'un FAI ou les employés d'une entreprise), ou plus en fonction du niveau hiérarchique du DNS empoisonné», ajoute Frédéric Aoun.
Dans les cas récemment détectés, les internautes se sont vite rendus compte d'un problème, puisque les escrocs les redirigeaient vers des sites qui n'avaient plus rien à voir avec la destination originale. Mais, souligne Jason Lam, si les escrocs avaient réellement voulu extorquer des données personnelles, ils auraient pu le faire facilement. Et les navigateurs n'auraient sans doute pas pu leur dire qu'ils n'étaient pas sur un site officiel, sauf peut-être par le biais des certificats utilisés par les sites pour garantir leur identité.
Pour Frédéric Aoun, la seule façon de se prémunir tient de la responsabilité des entreprises elles-mêmes: «Pour nombre d'entre elles, les DNS ne méritent pas beaucoup d'attention, alors même qu'il y a beaucoup d'erreurs de configuration. Elles doivent tenir leurs DNS à jour et se tenir au courant des failles de sécurité», rappelle-t-il. «Vu les nouvelles tendances antispam, les prochains points d'attaque [pour les arnaqueurs] seront les DNS»
Les serveurs DNS (systèmes de noms de domaine) semblent être devenus les nouvelles cibles des escrocs qui pratiquent le "phishing" pour arnaquer les internautes.
Jusqu'à présent, deux techniques de phishing étaient employées. D'abord l'envoi d'un e-mail frauduleux, invitant l'internaute à se rendre, par exemple, sur le site détourné d'une banque, pour y inscrire à nouveau ses coordonnées bancaires.
L'autre dispositif consiste à faire apparaître, sur un site légitime, un pop-up dont les fraudeurs contrôlent le contenu, en laissant croire à l'internaute qu'il a toujours à faire à son prestataire habituel. Ces deux méthodes peuvent toutefois être repérées grâce aux outils anti-spam et anti-phishing développée par les éditeurs de logiciels.
Pour contrer ces outils, les escrocs s'en prennent désormais aux serveurs DNS, selon une technique baptisée "DNS poisoning", que les spécialistes connaissent depuis longtemps, explique à ZDNet Frédéric Aoun, responsable scientifique pour la société Dolphian qui édite des logiciels antivirus et anti-spam.
«Lorsque l'utilisateur tape une adresse internet légitime, si les DNS sont empoisonnés, il sera redirigé sans qu'il s'aperçoive de quoi que ce soit vers un autre site. Ce n'est pas la faute du navigateur, ni des serveurs, et l'entreprise dont le site est détourné peut ne s'apercevoir de rien non plus», poursuit-il.
Google et Ebay parmi les sites détournés
«Le DNS est la brique de base d'internet qui permet de traduire une adresse du type www.cnet.com (facile à retenir par un humain) en une adresse IP (facile à utiliser par un ordinateur)», précise-t-il. Lorsqu'un internaute tape une url dans son navigateur, si celui-ci ne trouve pas l'adresse IP correspondante dans son fichier local, il envoie une requête au serveur DNS du fournisseur d'accès ou de l'entreprise par lesquels l'internaute se connecte. «Ce DNS est appelé un "resolver/cache". Il sait quels serveurs DNS il doit interroger pour aller chercher les adresses des différents noms de domaine», poursuit Frédéric Aoun.
«Or, certains resolvers/cache peuvent être trompés pour que les informations mémorisées pointent vers un autre site. L'année dernière, une faille sur une passerelle de sécurité de Symantec permettait une telle attaque». Selon lui, il est également possible «d'envoyer une rafale de requêtes vers le resolver/cache et en même temps des réponses (empoisonnées) comme si elles venaient du serveur DNS autorisé à répondre pour le domaine en question».
Depuis la semaine dernière, plusieurs tentatives de ce genre ont été détectées par l'Internet Storm Center, un centre d'alerte géré par l'institut SANS (SysAdmin, Audit, Network, Security). Il rassemble de nombreux experts en sécurité dans tous les domaines. Selon ses observations, des ordinateurs d'internautes ont été détournés de sites légitimes, y compris ceux de Google et d'Ebay, et emmenés vers des serveurs qui ont immédiatement essayé d'installer des "spywares".
Les entreprises peu sensibilisées à ces problèmes
Jason Lam, membre du ISC, estime que cela concerne une trentaine de réseaux. «C'est difficile de dire combien de personnes ont été touchées par ce phénomène, mais ce n'était pas très répandu», relativise-t-il toutefois.
«L'impact de cet empoisonnement n'est pas généralisé (pour tout l'internet), mais touche les utilisateurs directs du resolver/cache en question (tous les abonnés d'un FAI ou les employés d'une entreprise), ou plus en fonction du niveau hiérarchique du DNS empoisonné», ajoute Frédéric Aoun.
Dans les cas récemment détectés, les internautes se sont vite rendus compte d'un problème, puisque les escrocs les redirigeaient vers des sites qui n'avaient plus rien à voir avec la destination originale. Mais, souligne Jason Lam, si les escrocs avaient réellement voulu extorquer des données personnelles, ils auraient pu le faire facilement. Et les navigateurs n'auraient sans doute pas pu leur dire qu'ils n'étaient pas sur un site officiel, sauf peut-être par le biais des certificats utilisés par les sites pour garantir leur identité.
Pour Frédéric Aoun, la seule façon de se prémunir tient de la responsabilité des entreprises elles-mêmes: «Pour nombre d'entre elles, les DNS ne méritent pas beaucoup d'attention, alors même qu'il y a beaucoup d'erreurs de configuration. Elles doivent tenir leurs DNS à jour et se tenir au courant des failles de sécurité», rappelle-t-il. «Vu les nouvelles tendances antispam, les prochains points d'attaque [pour les arnaqueurs] seront les DNS»