Une attaque visant le DNS, le système qui fait fonctionner la navigation sur Internet, peut rendre les sites et services d'une entreprise inaccessibles pendant des heures, voire des jours. Ces attaques touchent des organisations de toutes tailles, y compris des géants du web, et représentent un risque majeur en matière de cybersécurité.
Qu'est-ce qu'une attaque DNS, quelles sont ses formes les plus courantes, comment la repérer et surtout comment s'en protéger ? Cet article propose un tour d'horizon accessible, dans une optique de sensibilisation et de défense.
Je précise mon rôle : je vulgarise ici un sujet technique de cybersécurité. Pour sécuriser une infrastructure réelle, l'accompagnement d'un professionnel ou d'un prestataire spécialisé est indispensable.
Commençons par une définition exacte, car elle est souvent mal formulée. Le DNS (Domain Name System, ou système de noms de domaine) est l'annuaire d'Internet : il traduit un nom de domaine lisible par l'humain (par exemple exemple.com) en l'adresse IP numérique correspondante (par exemple 192.168.1.1) que les machines utilisent pour communiquer. C'est ce mécanisme qui vous permet de taper un nom de site plutôt qu'une suite de chiffres. Le serveur qui réalise cette conversion est le serveur DNS, premier point de contact entre l'utilisateur et le service qu'il veut atteindre.
Une attaque DNS consiste à exploiter une faille ou une faiblesse de ce système, soit pour rendre un service indisponible, soit pour détourner les utilisateurs vers de fausses pages. Un serveur DNS mal configuré, obsolète ou non mis à jour facilite l'intrusion. Les formes les plus connues sont l'empoisonnement du cache DNS (DNS cache poisoning et spoofing), l'attaque par amplification DNS et l'attaque par déni de service distribué (DDoS) visant le serveur DNS.
L'illustration la plus marquante reste l'attaque du 21 octobre 2016 contre Dyn, un important fournisseur de services DNS. Pendant une bonne partie de la journée, de nombreux sites majeurs sont devenus difficilement accessibles aux États-Unis : Twitter, Netflix, Amazon, Reddit, GitHub, PayPal ou encore The New York Times. Comme ces plateformes dépendaient de l'infrastructure DNS de Dyn, elles ont subi de plein fouet les effets de l'attaque.
Cette attaque est devenue un cas d'école pour une raison précise : elle a été menée à l'aide du botnet Mirai, un réseau de dizaines de milliers d'objets connectés (caméras IP, routeurs domestiques, enregistreurs vidéo…) infectés et détournés à l'insu de leurs propriétaires. Ces appareils ont submergé l'infrastructure de Dyn avec un trafic dont le pic a été estimé autour de 1 Tb/s. L'épisode a révélé la vulnérabilité des objets connectés mal sécurisés, souvent laissés avec leurs mots de passe par défaut.
Une attaque peut d'abord passer inaperçue, la victime ne s'en rendant compte qu'une fois les dégâts constatés. Certains signaux doivent toutefois alerter les administrateurs :
Du côté des utilisateurs, le signe le plus courant est tout simplement l'impossibilité d'accéder à un service. Fait important : un particulier peut, sans le savoir, devenir un rouage de l'attaque. Si son ordinateur, sa box ou un objet connecté est infecté par un botnet, l'appareil enverra des requêtes pour saturer une cible. Le propriétaire ne remarquera souvent qu'une légère perte de performance. C'est pourquoi sécuriser ses propres appareils participe à la protection collective.
Cette technique vise à rediriger les utilisateurs vers une fausse page web. Un internaute croyant se connecter à un service légitime (sa messagerie, sa banque) saisit en réalité ses identifiants sur un site frauduleux, à l'adresse identique en apparence. La logique est proche de l'hameçonnage (phishing), et les données dérobées peuvent être des mots de passe ou des numéros de carte bancaire. La faille exploitée se situe au niveau de la mise en cache DNS. Côté protection, le maintien à jour des systèmes et l'usage de mécanismes comme DNSSEC (qui authentifie les réponses DNS) réduisent fortement le risque.
Ce type d'attaque, qui relève des attaques par déni de service, vise à submerger une cible sous un volume de trafic colossal. Elle exploite le protocole DNS lui-même, en s'appuyant sur des serveurs mal configurés et sur un réseau d'appareils infectés (botnet) pour démultiplier le trafic dirigé vers la victime. Les grandes plateformes en sont des cibles fréquentes. Parmi les protections : sécuriser et mettre à jour ses serveurs, désactiver les requêtes récursives sur les serveurs publics, et répartir son service sur plusieurs serveurs pour éviter un point de défaillance unique.
Plus largement, une attaque DDoS consiste à inonder un serveur de requêtes pour le ralentir ou le rendre inaccessible. Les attaques par amplification en sont une variante. Leur volume ne cesse de croître : à titre d'illustration, Cloudflare a indiqué avoir bloqué en 2022 une attaque ayant culminé à environ 26 millions de requêtes par seconde, l'une des plus intenses de ce type rapportées à l'époque. Pour s'en protéger, on combine généralement la mise à jour régulière des correctifs de sécurité, la limitation des accès au serveur et le recours à des services spécialisés d'atténuation (mitigation) capables d'absorber et de filtrer un trafic massif.
Une attaque DNS exploite le système qui traduit les noms de domaine en adresses IP, pour rendre des services indisponibles ou détourner les utilisateurs vers de fausses pages. Ses formes principales sont l'empoisonnement de cache, l'amplification et le DDoS. L'attaque Dyn de 2016, menée via des objets connectés piratés, a montré qu'aucune organisation n'est à l'abri. La défense repose sur des serveurs à jour et bien configurés, DNSSEC, la redondance et des solutions d'atténuation, sans oublier la sécurisation des appareils de chacun.
La cybersécurité étant un domaine en évolution constante, il reste vivement conseillé de faire appel à des professionnels pour évaluer et protéger une infrastructure. Cet article a une vocation informative et de sensibilisation.
Pour aller plus loin : vous pouvez consulter nos articles sur le phishing et comment s'en protéger, les bonnes pratiques de sécurité des objets connectés, et le rôle de DNSSEC.
Article rédigé par
