En octobre 2016, des pirates informatiques ont utilisé un logiciel malveillant connu sous le nom de Mirai pour créer un botnet composé de centaines de milliers d’appareils connectés à Internet. Ils ont alors lancé la plus grande attaque par déni de service distribué (DDoS) l’une des plus grandes attaques n’ayant jamais été perpétré jusqu’à ce jour, et atteignant parfois 1,2 téraoctet par seconde, et cela contre une entreprise spécialisée dans les hébergements informatiques.
Dans des circonstances normales, le résultat aurait été que les serveurs auraient été inaccessibles, et les activités Internet de la société auraient été interrompues. Comme cette dernière fournit des services DNS pour de nombreux sites Web les plus connus au monde, notamment BBC, CNN, Comcast et Spotify, ces autres sites étaient également la cible de cette attaque.
Cela a permis de démontrer que la cybersécurité est seulement aussi forte que le maillon le plus faible de la chaîne de sécurité. Dans ce cas, le lien le plus faible était le système DNS, et en particulier une partie qui échappait au contrôle de nombreuses entreprises touchées par cette attaque. Alors, comment éviter de s’exposer à ce genre de menace ? Les réponses dans ce qui suit.
Comment fonctionne le DNS ?
Pour comprendre le problème, réfléchissons au fonctionnement du DNS. Si vous souhaitez visiter un site web, votre navigateur doit trouver l’adresse IP de ce serveur web particulier. La première chose à faire est de consulter le fichier hosts du système, un fichier texte contenant les adresses IP de tous les noms de domaine qui sont effectivement codés en dur dans ce système. Pour cela, vous pourrez user de l’outil https://nstools.fr.
En d’autres termes, si le résolveur a récemment demandé l’adresse IP de ce nom de domaine, il aura cette information et il le fournira directement. Mais s’il ne l’a pas dans son cache, soit parce qu’il n’a jamais été demandé cette information auparavant ou parce que l’information a expiré et a été retirée du cache, alors il renverra la requête à un serveur racine, qui peut indiquer au résolveur où se rendre pour obtenir des informations sur le domaine du site.
Comment les pirates utilisent DNS ?
Le problème avec ce système est que si un pirate peut trouver un moyen de rendre le rapport du résolveur à la mauvaise adresse IP, alors quiconque essayant d’accéder à une adresse web sera envoyé à un faux site, sans aucun moyen évident pour lui de détecter que quelque chose ne va pas. De même, le courrier électronique pourrait être livré à la mauvaise destination, et ainsi de suite.
Le problème sous-jacent est celui de la configuration du serveur DNS. Les serveurs DNS ont tendance à être négligés et leur configuration par défaut n’est pas nécessairement sécurisée. Avant d’examiner la configuration et les autres modifications qui peuvent être apportées pour assurer la sécurité du DNS, vous pourrez tout d’abord user des outils de paramétrages https://ns.tools ou autres.