L'usurpation de domaine est une forme d'attaque de phishing, dans le cadre de laquelle un cyberattaquant se fait passer pour une personne ou une entreprise connue en utilisant un site web ou domaine de messagerie factice pour inciter les internautes à lui faire confiance. De prime abord, le domaine semble légitime, mais un examen plus approfondi révèle de petites différences : par exemple, un W est remplacé par deux V ou un L minuscule par un I majuscule. Les utilisateurs qui répondent au message ou interagissent avec le site sont amenés à révéler des informations sensibles, à envoyer de l'argent ou à cliquer sur des liens malveillants.
Outre les arnaques individuelles, l'usurpation de domaine peut causer d'autres problèmes :
- Elle peut servir à distribuer des logiciels malveillants et à mener d'autres types d'attaques, telles que des attaques par déni de service distribué (DDoS) et de type man-in-the-middle.
- L'usurpation de domaine permet aux cyberattaquants de dissimuler leur identité aux forces de l'ordre et aux tiers.
- Ils peuvent s'en servir pour rediriger des utilisateurs vers des sites inattendus en vue de générer des recettes publicitaires ou, à l'inverse, inciter des publicitaires à placer leurs annonces sur des sites imprévus.
- Comme les réseaux ciblés ne sont pas toujours conscients de l'attaque, ils n'envoient pas d'alertes.
- Étant donné que les adresses IP usurpées semblent parfaitement légitimes, elles ne sont pas placées sur des listes noires par les pare-feux et d'autres contrôles de sécurité.
Quels sont les principaux types d'usurpation de domaine ?
Usurpation d'adresse e-mail
Les cyberattaquants envoient des e-mails semblant provenir d'un expéditeur connu, tel qu'un ami, une entreprise ou un organisme public. Les messages frauduleux peuvent contenir un téléchargement ou lien malveillant, attirer le destinataire vers un site dangereux ou le rediriger vers un site web qu'il ne souhaite pas visiter.
Usurpation de site web
Les cyberattaquants enregistrent un domaine similaire à celui d'une entreprise ou d'un organisme légitime. Ils l'utilisent pour créer un site très semblable au site légitime et envoyer des e-mails pour piéger les victimes. Une fois sur le site usurpé, les utilisateurs peuvent se voir proposer des téléchargements malveillants ou être invités à communiquer leurs informations personnelles (identifiants de connexion ou informations bancaires, par exemple). Les sites web usurpés peuvent également être utilisés pour commettre des fraudes publicitaires. L'arnaqueur envoie le domaine factice à un service d'échange d'annonces pour inciter les annonceurs à soumettre des offres d'achat d'espaces publicitaires sur le site usurpé au lieu du site légitime.
Empoisonnement DNS
L'empoisonnement DNS est une forme d'usurpation d'adresse IP difficile à détecter. Dans le cadre de cette tactique, les utilisateurs qui tentent d'accéder à un site sont redirigés vers un autre. Ainsi, pour empêcher les citoyens chinois d'accéder à des sites censurés, le Grand Pare-feu de Chine, également appelé Golden Shield, du gouvernement chinois réoriente les utilisateurs vers des sites légitimes de divers types au lieu des sites censurés. Le flux de trafic inattendu vers ces sites légitimes peut entraîner des plantages et, lorsqu'il est utilisé de cette manière, l'empoisonnement DNS devient une attaque DDoS.
Fonctionnement d'une attaque par usurpation de domaine
Une attaque par usurpation d'adresse e-mail peut être assez similaire à une attaque de phishing, de spear phishing (harponnage) ou de spam. Le cyberattaquant envoie des spams de façon aléatoire ou cible certains utilisateurs d'une entreprise ou d'un secteur spécifique au moyen de messages factices contenant des liens malveillants ou incitant les utilisateurs à consulter des sites infectés. Comme les sites web factices sont eux-mêmes des exemples d'usurpation de domaine, il n'est pas rare que l'usurpation d'adresse e-mail et celle de domaine soient utilisées conjointement.
D'autres scénarios sont possibles. Par exemple, une attaque par usurpation de domaine peut faire partie d'une campagne de plus grande envergure, telle qu'une attaque DDoS, qui consiste à utiliser des adresses IP usurpées pour inonder un site web ou un serveur précis jusqu'à épuisement de ses ressources, auquel cas ce dernier ralentit ou plante.
Conseils pour identifier un domaine usurpé
- Recherchez des lettres ou chiffres supplémentaires dans le nom du domaine, en particulier des caractères qu'il est facile de confondre avec d'autres, par exemple des L minuscules et des I majuscules.
- Vérifiez les informations figurant dans l'en-tête de l'e-mail. Examinez les champs « Received from » et « Received-SPF ». Si les domaines affichés dans ces champs ne correspondent pas à ce que vous savez de l'expéditeur présumé, le message a été usurpé. Parfois, les données affichées dans ces champs consistent en une adresse IP. Vérifiez-la en accédant à un outil de recherche Whois d'un site légitime, tel que ICANN, Domain Tools ou GoDaddy, et en saisissant l'adresse IP. Si les résultats sont différents de ce à quoi vous vous attendiez (par exemple, un domaine apparemment hébergé dans un pays d'Europe de l'Est), vous devez vous méfier.
- Si le domaine semble correct, vérifiez si les autres informations concordent. Par exemple, si le message semble émaner du siège d'une société californienne, vérifiez si les indicatifs régionaux des numéros de téléphone correspondent à la ville citée. Passez la souris sur les liens hypertexte pour voir s'ils vous dirigent vers le site attendu. Assurez-vous que le nom de l'entreprise n'est pas un sous-domaine. Par exemple, si le message semble provenir de CrowdStrike, les liens ne doivent pas vous diriger vers crowdstrike.customersupport.com, mais bien vers customersupport.crowdstrike.com. Le nom correct doit toujours apparaître juste avant l'extension .com ou une autre extension et jamais en premier.
- Assurez-vous de la présence d'un certificat SSL (Secure Socket Layer). Un certificat SSL est un fichier texte qui authentifie l'identité d'un site web et chiffre les informations envoyées au serveur. De nos jours, la plupart des sites web possèdent des certificats SSL.
- Contrôlez ce certificat SSL. Vérifiez que le domaine indiqué dans le certificat est le domaine légitime et non un domaine usurpé. Dans Chrome ou Brave, vérifiez le certificat en cliquant sur l'icône du verrou dans la barre d'adresses, puis cliquez sur « Certificat (valide) » dans la fenêtre contextuelle. Procédez de la même façon dans Firefox, mais au lieu de rechercher Certificat (valide) dans la fenêtre contextuelle, cliquez sur la flèche à droite du nom de l'entreprise pour afficher un message confirmant la sécurité de la connexion. Dans Safari, double-cliquez sur le verrou et sélectionnez « Afficher le certificat ».
- Ne cliquez pas sur les liens proposés dans le message ou sur le site web. Recherchez plutôt l'entité et cliquez sur le lien affiché dans les résultats de recherche.