Blog - Lockself

La résolution DNS peut-elle constituer une vulnérabilité dans un SI ?

Rédigé par Julien Tessier | 26 janvier 2021

C’est la question à laquelle nous allons répondre dans cet article en expliquant tout d’abord à quoi sert une résolution DNS pour ensuite aborder les risques que cela pose si celle-ci n’est pas correctement configurée.


Qu’est ce qu’une résolution DNS et comment cela fonctionne ?

Lorsque nous visitons un site internet, le nom de domaine du site (ex: www.leSiteQueJeVisite.com) est transmis au travers du réseau internet pour sa résolution en adresse IP (www.leSiteQueJeVisite.com correspond à l'adresse IP 12.34.56.78).

L'adresse IP derrière un nom de domaine permet à notre navigateur internet de communiquer avec le serveur hébergeant le site web.

En clair, une fois que Firefox ou Chrome sait que www.monSite.com est hébergé sur le serveur 12.34.56.78, il peut commencer à dialoguer avec lui et récupérer la page d'accueil de www.monSite.com.

 

Quel est le problème ?

On nous parle du HTTPS comme une garantie pour la sécurité de notre connexion ou de notre paiement sur un site internet.

Quand nous visitons un site en HTTPS, le contenu de ce site est bien chiffré par le HTTPS, quand nous mettons notre mot de passe ou notre numéro de carte de crédit sur le site, ils ne sont pas interceptables par quelqu’un d’autre que le site web lui-même.

Mais le fait que nous soyons sur https://.MonEspaceAdmin.monEntreprise.com n'est pas caché et circule en clair sur le réseau pour aller faire sa fameuse résolution en IP.

 

Que risquons-nous ?

A priori cette information peut sembler plutôt maigre pour un attaquant et ne devrait pas faire courir un grand risque à une entreprise.

Et pourtant, plusieurs risques sont présents:

- De l'espionnage sur le réseau local permettant d'identifier les différents noms de domaine des ressources internes de l'entreprise.

En dressant une liste des adresses menant aux ressources internes de l’entreprise (ex : www.admin.monEntreprise.com, www.comex.monEntreprise.com, ...), une cyberattaque ciblée devient réalisable.

- Des détournements réseau permettant de retirer le S du HTTPS (en forçant le HTTP) et d'espionner le contenu des requêtes (identifiants, mots de passe,...)

L’exploitation de cette vulnérabilité peut donc à la fois permettre de récupérer des informations pour alimenter une cyberattaque mais peut également constituer une attaque en tant que telle de par la récupération d’informations personnelles.

 

Comment se prémunir de ces attaques ?

La solution proposée depuis 2018 et recommandée par la NSA s’appelle le DOH (DNS Over HTTPS).
Il est ainsi fortement recommandé aux entreprises de faire utiliser à leurs collaborateurs un serveur DNS propre à leur entreprise et qui supporte le DOH.

Laisser ses collaborateurs utiliser le serveur DNS de leur fournisseur d’accès à internet est une facilité qui peut être lourde de conséquence.

Enfin, si vous souhaitez savoir si votre navigateur web supporte le DOH et se base bien sur un serveur DNS le proposant, vous pouvez vous rendre sur le lien suivant:
https://www.cloudflare.com/ssl/encrypted-sni/