Une des raisons pour lesquelles l’empoisonnement DNS est si dangereux est qu’elle peut se propager d’un serveur DNS à un autre. En 2010, un empoisonnement du DNS a eu pour conséquence que le grand pare-feu de Chine a temporairement échappé des frontières nationales chinoises, censurant Internet aux États-Unis jusqu’à ce que le problème soit résolu.
Comment fonctionne le DNS
Chaque fois que votre ordinateur contacte un nom de domaine tel que «google.com», il doit d'abord contacter son serveur DNS. Le serveur DNS répond avec une ou plusieurs adresses IP auxquelles votre ordinateur peut accéder à google.com. Votre ordinateur se connecte ensuite directement à cette adresse IP numérique. DNS convertit les adresses lisibles par l'homme, telles que «google.com», en adresses IP lisibles par ordinateur, telles que «173.194.67.102».
Lire la suite: HTG explique: Qu'est-ce que le DNS?
Mise en cache DNS
Internet ne dispose pas d’un serveur DNS unique, ce qui serait extrêmement inefficace. Votre fournisseur de services Internet exécute ses propres serveurs DNS, qui mettent en cache les informations provenant d'autres serveurs DNS. Votre routeur domestique fonctionne comme un serveur DNS, qui met en cache des informations provenant des serveurs DNS de votre fournisseur de services Internet. Votre ordinateur dispose d’un cache DNS local. Il peut donc faire rapidement référence aux recherches DNS qu’il a déjà effectuées au lieu d’effectuer une recherche DNS encore et encore.
Empoisonnement du cache DNS
Un cache DNS peut être empoisonné s'il contient une entrée incorrecte. Par exemple, si un attaquant prend le contrôle d'un serveur DNS et modifie certaines des informations qu'il contient (par exemple, il pourrait indiquer que google.com pointe en fait sur une adresse IP que possède l'attaquant), le serveur DNS demanderait à ses utilisateurs de consulter pour Google.com à la mauvaise adresse. L'adresse de l'attaquant pourrait contenir une sorte de site Web de phishing malveillant.
Un tel empoisonnement DNS peut également se propager. Par exemple, si plusieurs fournisseurs de services Internet obtiennent leurs informations DNS du serveur compromis, l'entrée DNS empoisonnée se propage aux fournisseurs de services Internet et y est mise en cache. Il se propage ensuite vers les routeurs domestiques et les caches DNS des ordinateurs lorsqu'ils recherchent l'entrée DNS, reçoivent la réponse incorrecte et la stockent.
Le grand pare-feu de la Chine se propage aux États-Unis
Ce n’est pas simplement un problème théorique, c’est ce qui s’est passé dans le monde réel à grande échelle. L’un des moyens utilisés par le grand pare-feu chinois consiste à bloquer au niveau DNS. Par exemple, un site Web bloqué en Chine, tel que twitter.com, peut avoir ses enregistrements DNS dirigés vers une adresse incorrecte sur des serveurs DNS en Chine. Cela ferait en sorte que Twitter soit inaccessible par des moyens normaux. Considérez ceci comme une Chine empoisonnant intentionnellement ses propres caches de serveur DNS.
En 2010, un fournisseur de services Internet situé en dehors de la Chine a configuré par erreur ses serveurs DNS pour extraire des informations de serveurs DNS en Chine. Il a récupéré les enregistrements DNS incorrects de Chine et les a mis en cache sur ses propres serveurs DNS. D'autres fournisseurs de services Internet ont récupéré les informations DNS auprès de ce fournisseur de services Internet et les ont utilisées sur leurs serveurs DNS. Les entrées de DNS empoisonnées ont continué à se répandre jusqu'à ce que certaines personnes aux États-Unis ne puissent plus accéder à Twitter, Facebook et YouTube via leurs fournisseurs de services Internet américains. Le grand pare-feu de la Chine avait «fui» hors de ses frontières nationales, empêchant des personnes d'autres régions du monde d'accéder à ces sites Web. Cela a essentiellement fonctionné comme une attaque d'empoisonnement DNS à grande échelle. (La source.)
La solution
La véritable raison pour laquelle l’empoisonnement du cache DNS est un problème est qu’il n’existe aucun moyen réel de déterminer si les réponses DNS que vous recevez sont réellement légitimes ou si elles ont été manipulées.
La solution à long terme à l’empoisonnement du cache DNS est DNSSEC. DNSSEC permettra aux organisations de signer leurs enregistrements DNS à l'aide d'une cryptographie à clé publique, afin que votre ordinateur sache si un enregistrement DNS doit être approuvé ou s'il a été empoisonné et redirige vers un emplacement incorrect.