Nouvelle cyberattaque mondiale (DNSpionage)

Qu'est ce que DNSpionage, la dernière cyberattaque ?

Posté le
3 minutes
429 mots

Une attaque fait les titres des journaux ces temps-ci. DNSpionage.

Nouvelle cyberattaque mondiale (DNSpionage)

Qu'est ce que DNSpionage, la dernière cyberattaque ?

C’est une attaque DNS.

Alors un DNS c’est quoi ?

Un DNS est un annuaire qui convertit un nom de domaine qui est lisible par un être humain comme par exemple facebook.com en une adresse ip qui est lisible par une machine, par un ordinateur.

L’attaque consiste à faire croire que le nom de domaine que vous visitez (par exemple facebook.com) correspond bien aux serveurs de facebook alors qu’en réalité ce sont les serveurs d’un hacker, d’un attaquant.

Alors, Brian Krebs, un expert en cybersécurité américain, s’est penché sur la question et nous a sorti un rapport.

Au vu de ce rapport les premières attaques datent de février 2017 mais elles se sont amplifiées à partir de décembre 2018.

Elles concernent principalement des acteurs du moyen-orient, des entreprises comme des organismes d’état.

Mais les IPs des hackers sont vraisemblement des IPs européennes, allemandes apparemment.

Donc les attaques en question sont des attaques qui concernent les DNS (les serveurs de noms de domaine) et les registrars.

Les registrars ce sont les entreprises qui enregistrent des noms de domaine pour vous et qui les mettent ensuite publiquement en place.

Par exemple, facebook.com à un registrar qui annonce au monde entier que facebook.com c’est telle IP, telle IP et telle IP.

Les attaques ont eu lieu donc sur ces noms de domaine et sur ces registrars.

Alors on entend partout dans les journaux que ce sont des attaques ultra compliquées et tout.

En fait non, c’est tout simple, c’est le même type d’attaques que quand vous laissez traîner un post-it avec votre mot de passe et que quelqu’un accède à votre ordinateur grâce à ce post-it et ce mot de passe.

En fait les régistrars et les services de noms de domaine n’ont pas mis en place de sécurité d’accès suffisante

Donc le hacker s’est introduit dans les systèmes tout simplement et a changé à sa façon la relation entre les noms de domaine et les IPs correspondantes. Il a mis ses IPs à lui à la place des IPs officielles.

Alors vous vous ne pouvez pas faire grand chose pour contrer cette attaque. C’est le boulot qui revient au registrar, au service de noms de domaine particulier, et eux doivent essayer de renforcer l’authentification sur ces services là pour éviter qu’un hacker pénètre à leur place.

Ils peuvent mettre en place un outil qu’on appelle DNSSEC.

Je parlerai dans un futur article de ce dernier.

Sources :