Actu
Vade Retro Technology détecte une attaque majeure touchant le Ministère de la Défense Française
juin 2011 par Vade Retro Technology
C’est dans le cadre de son travail quotidien que le laboratoire d’experts de Vade Retro Technology a détecté Vendredi 10 Juin vers 18H une attaque de type « DNS Poisoning » de haut niveau touchant un des sites internet du Ministère de la Défense Française.
Intrigués par le fait qu’un phishing soit hébergé sur un tel site, les experts de Vade Retro ont poursuivi leurs recherches et ont découvert que ce n’était pas le site web en question qui était corrompu, mais des serveurs DNS de haut niveau. En effet, ces serveurs DNS dirigeaient à tort des requêtes à destination d’un des sites internet du Ministère de la Défense Française vers un site internet marocain hébergé en Allemagne.
Quelques explications : Les serveurs DNS (Domaine Name System) jouent le rôle « d’annuaires du web » et relient un nom de domaine (par exemple : google.fr) à une adresse IP (en l’occurrence : 209.85.143.104). Un seul serveur DNS ne peut bien entendu pas contenir l’ensemble de l’annuaire mondial du web, il peut cependant demander à ses pairs l’information de correspondance qu’il ne possède pas.
Dans le cas de l’attaque détectée, c’est un serveur DNS de haut niveau qui disposait de correspondances adresse IP / nom de domaine volontairement erronées (c’est ce qu’on appelle la technique du DNS Poisoning ou encore l’empoisonnement du cache DNS). En conséquence l’ensemble des requêtes qui étaient faites auprès de ce serveur DNS et de ses fils répercutait une fausse information en prétendant que le nom de domaine du Ministère de la Défense Française correspondait à une adresse IP localisée en Allemagne. Situation pas impossible mais plutôt cocasse… (NDR : Le site internet du Ministère de la Défense Française est localisé chez un hébergeur français : Oléane).
Cette technique n’a été utilisée fort heureusement que pour une simple opération de phishing commercial. Cependant un hacker plus entreprenant aurait pu créer une copie à l’identique du site visé et ainsi récupérer par exemple des noms d’utilisateurs et mots de passe d’agents gouvernementaux.
Après contact auprès de l’ANSSI (Agence Nationale de la Sécurité de Sites d’Information : www.ssi.gouv.fr/fr/anssi/contacts), la situation est revenue peu à peu à la normale Samedi 11 Juin dans la matinée. Le phishing lui-même était quant à lui déjà arrêté dans la soirée de vendredi 10 Juin par Vade Retro Technology.
Les ingénieurs de Vade Retro Technology travaillent sans relâche sur l’optimisation de la technologie antispam Vade Retro afin de maximiser le filtrage des spams et virus, tout en maintenant un taux de faux positifs négligeable.
