L’infrastructure DNS conditionne l’accès au Web : il est impossible d’accéder à un domaine Internet
quand le serveur DNS qui l’administre est en panne. Commençant à entrevoir les opportunités
potentielles de ces failles, les pirates se sont mis à concevoir des programmes malveillants qui exploitent
les DNS pour communiquer avec des bot masters afin d’accomplir diverses activités frauduleuses. Une
nouvelle génération de botnets et de menaces persistantes avancées (Advanced Persistent Threats,
APT) est ainsi née, qui utilise les DNS pour infecter des machines et les contrôler, lancer des attaques
réseau sophistiquées ou couvrir des activités criminelles.

Quantité de réseaux sont chaque jour piratés via les DNS, cibles faciles pour les cybercriminels car
accessibles et très peu sécurisés. Ils figurent parmi les rares services quasi systématiquement autorisés
à traverser les pare-feux, la plupart du temps par des proxy DNS locaux désignés. Par ailleurs, la
moindre intensité du trafic DNS, au regard du trafic Web ou des e-mails, explique aussi qu’il est moins
rigoureusement filtré.

Il est essentiel, désormais, que les entreprises intègrent la protection des systèmes de noms de domaine
dans leur stratégie de sécurité.

Nous avons donc voulu consacrer cet article aux principaux vecteurs de menace des DNS et aux
solutions dont disposent les décideurs IT pour renforcer la sécurité des réseaux de leur entreprise et de
leurs fournisseurs de services.

On distingue généralement deux types d’attaques :
– celles qui visent à provoquer une interruption de services DNS, telles que les attaques par déni
de service / déni de service distribué (Denial of Service, DOS / Distributed Denial of Service,
DDOS), empoisonnement de cache, manipulation de réponses ou encore interception (Man-inthe-
Middle, MITM) ;
– et celles qui exploitent indirectement les DNS, comme les attaques par botnets, détournement de
noms de domaine, APT ou détournement de DNS (tunneling).

Les principaux vecteurs utilisés par les cybercriminels :

Empoisonnement de cache : l’attaquant envoie de fausses réponses DNS à un résolveur DNS, lequel
les stocke dans le cache DNS pendant la durée de vie prédéfinie. L’ordinateur considère que le serveur
DNS empoisonné est légitime et incite alors l’utilisateur à télécharger, sans le savoir, des contenus
malveillants.

Exploitation d’anomalies dans le protocole DNS : l’attaquant envoie des requêtes ou réponses DNS
mal formées au serveur DNS visé afin d’exploiter les anomalies d’implémentation du protocole du logiciel
du serveur. Cette technique permet de déclencher des dénis de service, d’empoisonner le cache ou de
compromettre les serveurs ciblés.

Redirection de DNS (MITM) : le protocole DNS sur UDP étant sans état, il est vulnérable aux attaques
MITM, de type DNS Changer, DNS Replay ou redirection illégitime, principalement utilisées à des fins de
hacktivisme, de phishing, de défacement de sites W eb ou de vol de données.

Détournement de DNS (DNS Tunneling) : l’attaquant exploite le DNS tel un canal caché pour
contourner les mécanismes de sécurité classiques. Les données sortantes et entrantes communiquées
sont respectivement encapsulées dans des requêtes et réponses DNS. Le programme malveillant installé
sur un hôte peut alors contacter son opérateur (le serveur de commande et de contrôle) et transférer les
données dérobées ou exécuter des commandes sur l’hôte sans être détecté.

Détournement de noms de domaine : l’attaquant dirige l’utilisateur vers un domaine piraté imitant un
domaine légitime, généralement celui d’une institution financière ou d’une agence de voyage, afin de
recueillir frauduleusement des données sensibles, comme des identifiants et codes d’accès, des numéros
de sécurité sociale, des codes PIN ou les numéros de cartes de paiement.

DOS / DDOS : ces attaques ont gagné en ampleur, en rapidité et en sophistication en 2012. Il en existe
principalement deux variantes :
– celles qui ciblent directement les serveurs d’infrastructure DNS, elles incluent également les
attaques récursives, par falsification d’adresse source et par saturation de serveurs DNS,
déclenchées par les botnets ;
– celles qui utilisent un serveur DNS pour lancer des attaques de type DDOS par amplification
ou par réflexion. L’attaquant transmet de fausses requêtes au serveur DNS pour qu’il envoie
massivement des réponses DNS non sollicitées à la machine visée. Il peut également envoyer de
petites requêtes DNS à plusieurs serveurs DNS pour lancer discrètement une attaque DDOS
massive par amplification.

Fast Flux : le fast flux consiste à modifier rapidement et fréquemment l’adresse IP d’un hôte en
raccourcissant la durée de vie des enregistrements DNS. Le domain fluxing consiste quant à lui à
attribuer plusieurs noms de domaine complets (Fully Qualified Domain Names, FQDN) à une même
adresse IP, celle du serveur de commande et de contrôle (C&C).

Menaces persistantes avancées (Advanced Persistent Threats, APT) : ces attaques consistent à
accéder à un réseau sans y être autorisé et sans être détecté pendant de longues périodes. Comme leur
nom l’indique, les APT sont des programmes malveillants avancés, persistants par nature, entièrement
dédiés à un objectif spécifique. Parmi ceux-ci figurent Conficker A/B/C, Torpig, Kraken ou encore
TDSS/TLD4, plus récent, qui exploitent des DNS pour communiquer avec des serveurs C&C distants afin
de collecter des codes malveillants et instructions pour mener à bien leurs attaques.

Vous l’aurez compris : les vecteurs d’attaques de DNS sont si nombreux et variés qu’une seule
technologie ne saurait les contrer tous.

La protection complète de l’infrastructure et des services DNS suppose donc une stratégie de sécurité
fondée sur plusieurs mécanismes de défense : des pare-feu DNS (systèmes qui analysent le trafic en
quête de menaces, détectent les anomalies et protègent le réseau en temps réel contre les domaines
malveillants) ; la mise en oeuvre de DNSSEC (signature numérique des enregistrements DNS) ; des
systèmes de protection contre les DOS/DDOS, des systèmes de prévention des fuites de données
et d’autres protocoles, des systèmes dédiés de détection des APT (mécanismes heuristiques et autres
techniques d’analyse comportementale permettant de déceler les programmes APT qui utilisent le DNS
pour communiquer avec des serveurs C&C).

Les serveurs DNS apparaissent donc comme des cibles de choix pour les cybercriminels et
programmeurs mal intentionnés, qui y voient un moyen simple de contourner les mécanismes de défense
traditionnels pour satisfaire leurs ambitions de guerre virtuelle, d’espionnage industriel, de hacktivisme,
de soutien ou de contestation politique, de vol de données, de distribution de spams ou encore
d’attaques DDOS coordonnées.

Les pare-feux de nouvelle génération n’offrent pas une sécurité suffisante. Seule une stratégie de
défense multidimensionnelle permettra aux entreprises de se prémunir contre ces programmes
malveillants et les techniques modernes qui contournent les dispositifs de sécurité grâce au DNS.