Comment fonctionne le DNS (en 30 secondes)
Le DNS (Domain Name System) est l'annuaire d'Internet. Quand quelqu'un tape votredomaine.com, son navigateur interroge un serveur DNS pour obtenir l'adresse IP correspondante — par exemple 192.0.2.1. C'est seulement après cette résolution que la connexion à votre serveur est établie.
Le DNS hijacking consiste à corrompre ou intercepter cette résolution pour pointer vers une IP différente — celle d'un serveur contrôlé par l'attaquant.
Les types de DNS hijacking
1. Compromission du compte registrar
C'est le scénario le plus courant pour les PME. Un attaquant accède à votre compte chez OVH, Namecheap ou GoDaddy (via phishing, credential stuffing ou fuite de données) et modifie les enregistrements DNS pour pointer vers ses serveurs.
Le changement peut être subtil : uniquement les enregistrements MX (pour intercepter vos emails) ou uniquement certains sous-domaines, pour rester discret.
Des centaines de domaines hébergés chez des registrars populaires ont été compromis via des attaques de type "account takeover". Les attaquants modifient les nameservers pour prendre le contrôle total de la résolution DNS.
2. Cache poisoning (empoisonnement du cache)
Les serveurs DNS mettent en cache les résolutions pour réduire les temps de réponse. Une attaque de cache poisoning consiste à injecter de fausses réponses dans ce cache — toutes les requêtes passant par ce serveur DNS reçoivent alors la fausse IP, même si votre configuration est correcte.
3. Compromission du serveur DNS autoritaire
Si vous gérez vos propres serveurs DNS (bind, PowerDNS), une vulnérabilité non patchée peut permettre à un attaquant de modifier directement les zones DNS. C'est rare pour les PME, mais fréquent dans les grandes infrastructures.
4. BGP hijacking
À un niveau plus bas, les routes Internet (protocole BGP) peuvent être manipulées pour rediriger le trafic d'une IP entière. C'est une attaque sophistiquée, plutôt ciblant les grandes plateformes.
5. DNS local (routeur compromis)
Un routeur Wi-Fi compromis peut empoisonner les résolutions DNS pour tous les appareils du réseau. Classique dans les attaques contre les réseaux d'entreprise ou les fournisseurs d'accès.
Conséquences pour votre business
- Vos clients arrivent sur un faux site — pages de phishing collectant identifiants et données bancaires
- Vos emails sont interceptés — modification des MX pour capturer tous les emails entrants
- Vos certificats SSL peuvent être volés — un attaquant qui contrôle votre DNS peut valider un certificat SSL à votre place (Let's Encrypt utilise des défis DNS)
- Perte de confiance durable — vos clients associent l'incident à votre marque, même si vous êtes victime
- Impact RGPD — interception de données personnelles avec votre domaine = violation de données à notifier
Comment détecter une attaque DNS hijacking
Surveillance des changements DNS
Comparez régulièrement les enregistrements DNS actuels avec vos valeurs connues. Tout changement non initié par vous est un signal d'alarme.
# Vérifier les enregistrements A, MX, NS actuels
dig votredomaine.com A
dig votredomaine.com MX
dig votredomaine.com NS
# Comparer avec plusieurs serveurs DNS pour détecter le cache poisoning
dig @8.8.8.8 votredomaine.com A # Google DNS
dig @1.1.1.1 votredomaine.com A # Cloudflare DNSAlertes de monitoring
Un outil de monitoring surveille vos enregistrements DNS en continu et vous alerte immédiatement en cas de changement. Un changement non autorisé détecté en 5 minutes = dégâts limités. Un changement détecté 48h plus tard = catastrophe.
La plupart des registrars conservent un historique des modifications de zone DNS. En cas de suspicion, consultez ce log pour identifier quand et depuis quelle IP la modification a eu lieu.
Se protéger contre le DNS hijacking
Sécuriser votre compte registrar
- Activer l'authentification à deux facteurs (2FA) sur votre compte registrar — c'est la mesure numéro un
- Utiliser un mot de passe unique et fort
- Activer le "Registry Lock" ou "Domain Lock" si votre registrar le propose — empêche toute modification DNS sans processus d'authentification renforcé
- Restreindre l'accès par IP si possible
- Utiliser une adresse email de récupération dédiée et sécurisée
Monitoring continu
- Configurer des alertes sur tout changement DNS
- Surveiller les certificats SSL émis pour votre domaine (Certificate Transparency logs)
- Vérifier régulièrement que vos IPs n'ont pas changé
DNSSEC : la solution technique de fond
DNSSEC (DNS Security Extensions) est une extension du protocole DNS qui ajoute une signature cryptographique à chaque enregistrement DNS. Cela permet aux résolveurs de vérifier l'authenticité des réponses et de détecter toute modification.
DNSSEC protège contre le cache poisoning et les attaques man-in-the-middle, mais ne protège pas contre la compromission de votre compte registrar (car l'attaquant peut modifier les clés DNSSEC elles-mêmes).
# Vérifier si DNSSEC est activé pour votre domaine
dig votredomaine.com DNSKEY
dig votredomaine.com DS
# Ou utiliser un outil en ligne
# https://dnsviz.net/La plupart des registrars (OVH, Cloudflare, Gandi...) permettent d'activer DNSSEC en un clic. C'est gratuit et prend effet en quelques heures. À activer sans attendre pour les domaines critiques.
Vérifiez la sécurité DNS de votre domaine en 60 secondes :
→ Analyser mon domaine gratuitement