Qu’est-ce que le Hijack DNS et comment s’en protéger

Le Hijack DNS (détournement DNS) est une forme d’attaque informatique très fréquente opérée par les cybercriminels.
Elle est souvent utilisée pour afficher des publicités, rediriger vers des sites malveillants ou récupérer des données de navigation.

Dans ce tutoriel complet, je vous explique tout ce qu’il faut savoir sur le Hijack DNS et comment s’en protéger.

Qu’est-ce que le Hijack DNS

Le détournement de serveur de nom de domaine (DNS), également appelé Hijack DNS, est un type d’attaque DNS dans lequel les requêtes DNS sont résolues de manière incorrecte afin de rediriger de manière inattendue les utilisateurs vers des sites malveillants. Pour réaliser cette attaque, les auteurs installent des logiciels malveillants sur les ordinateurs des utilisateurs, prennent le contrôle des routeurs ou interceptent ou piratent les communications DNS.
Ces malwares spécifiques peuvent être détectés en tant que Trojan DNSChanger.

Le détournement de DNS peut être utilisé pour le pharming (dans ce contexte, les attaquants affichent généralement des publicités indésirables pour générer des revenus) ou pour le phishing (affichage de fausses versions des sites auxquels les utilisateurs accèdent et vol de données ou d’identifiants).

Certains gouvernements utilisent le détournement de DNS à des fins de censure, en redirigeant les utilisateurs vers des sites autorisés par le gouvernement.
On parle alors de DNS Menteurs.

Les types d’Hijack DNS

Pour prévenir le détournement de DNS, il faut d’abord connaître les différents types d’attaques. Le détournement de DNS peut prendre quatre formes différentes :

• Détournement du DNS local – les attaquants installent un cheval de Troie malveillant sur l’ordinateur d’un utilisateur et modifient les paramètres du DNS local pour rediriger l’utilisateur vers des sites malveillants
• Détournement du DNS du routeur – de nombreux routeurs ont des mots de passe par défaut ou des vulnérabilités au niveau du firmware. Les attaquants peuvent prendre le contrôle d’un routeur et écraser les paramètres DNS, affectant ainsi tous les utilisateurs connectés à ce routeur
• Attaques DNS de type « Man in the middle » : les attaquants interceptent la communication entre un utilisateur et un serveur DNS, et fournissent différentes adresses IP de destination pointant vers des sites malveillants.
• Serveur DNS malveillant – les attaquants peuvent pirater un serveur DNS et modifier les enregistrements DNS pour rediriger les requêtes DNS vers des sites malveillants

Comment détecter le Hijack DNS

Il existe trois méthodes pour détecter le Hijack DNS :

1. Comparer la résolution DNS et vérifiez l’emplacement et l’hébergeur du site pour s’assurer qu’il est correct. Cela demande quelques connaissances
2. Faire une analyse antivirus sur votre appareil
3. Vérifiez la configuration DNS

Votre antivirus peut détecter le détournement DNS de trois manières :

• Par une configuration erronée avec des serveurs DNS malveillants dans le cas d’un détournement de DNS local
• Par la précédence d’un Trojan DNSChanger
• Par les conséquences avec des alertes de la protection WEB sur des alertes récurentes

Si vous soupçonnez un détournement DNS, vous pouvez utiliser un logiciel d’analyse tels que Malwarebytes Anti-Malware (MBAM).

Ensuite vérifiez votre configuration DNS.
Vous pouvez faire cela via des services internet gratuits comme dnscheck.tools, nslookup.io, BrowserLeaks, etc.
Sinon pour vérifier vos DNS sur vos appareils et en ligne pour détecter le détournement DNS du routeur.
Pour cela suivez ce tutoriel :

Comment se protéger du Hijack DNS

Voici quelques conseils pour éviter le détournement DNS :

• Sécuriser votre PC : Comment sécuriser son PC des virus : le dossier
• Ne téléchargez et exécutez aucun fichier inconnu pour éviter les malwares. Renseignez vous sur les méthodes de diffusion : Les Virus et Trojan : comment ils infectent les PC
• Modifiez les mots de passe par défaut de votre routeur et maintenez votre routeur internet à jour. Pour cela, mettez à jour le firmware et micrologiciel. De manière générale, suivez les conseils de la page suivante : Comment sécuriser son routeur contre les piratages

DNS Hijacking vs. DNS Spoofing vs. DNS Cache Poisoning

Voici les différences entre ces différentes termes techniques.

Usurpation de DNS / DNS Spoofing
Le DNS spoofing est une attaque au cours de laquelle le trafic est redirigé d’un site Web légitime, tel que www.google.com, vers un site Web malveillant, tel que google.attacker.com. L’usurpation de DNS peut être réalisée par la redirection de DNS. Par exemple, les attaquants peuvent compromettre un serveur DNS et, de cette manière, « usurper » des sites Web légitimes et rediriger les utilisateurs vers des sites malveillants.

Détournement de DNS / DNS Hijacking
Cela consiste à modifier la configuration DNS pour changer les serveurs DNS pour des serveurs contrôlés par le pirate.
Une fois les DNS détournés, l’attaquant peut rediriger la victime vers des sites malveillants.
Cette modification peut se faire par un Trojan DNS.

Empoisonnement du cache DNS / DNS Cache Poisoning
Avec l’empoisonnement du cache, les pirates ciblent les serveurs de noms en cache pour manipuler les réponses stockées dans le cache DNS. Cette attaque peut être menée de différentes manières, mais elle consiste généralement à inonder le serveur de fausses réponses DNS tout en modifiant l’ID de requête de chaque réponse.

À moins que les extensions de sécurité du système de noms de domaine (DNSSEC) ne soient mises en œuvre, l’empoisonnement du cache peut être difficile à identifier et à combattre. DNSSEC désigne un ensemble de spécifications d’extension mises en place par l’Internet Engineering Task Force (IETF) pour protéger les données échangées dans les systèmes DNS et IP. Sans DNSSEC, les pirates sont plus susceptibles d’exécuter une attaque réussie et d’affecter des milliers d’utilisateurs qui accèdent à un serveur de noms avec des réponses compromises.