DNS hijacking : du contenu adulte sur un site géré par le FBI

saisie de megaupload.com par le FBIComment un nom de domaine saisi et géré par le FBI a pu rediriger vers du contenu adulte ?

La nouvelle fait sourire, et pourtant, elle illustre un enjeu capital dans la gestion des noms de domaine. Au cours du mois d’aout 2016, le nom de domaine , saisi par le FBI depuis 2012, affichait une page parking lié à du contenu adulte (ci-dessous), dénotant pour le moins avec la page officielle.

Comment cette page a-t-elle pu apparaitre, sans qu’aucune modification du Whois associé au nom de domaine, ni même d’action directe sur ce nom, n’ait été effectuée ?

La réponse se situe au niveau du serveur DNS utilisé, et plus précisément du nom de domaine sur lequel repose ce serveur DNS.

Rappelons qu’un nom de domaine dépend, pour ses redirections opérationnelles (vers quel site rediriger, quel serveur mail, etc…) d’un serveur DNS.

Toutes les informations liées à ce nom de domaine sont enregistrées, via les fichiers zones, dans le serveur DNS qui a autorité sur ce nom de domaine (Authoritative Server).

Dès lors, il est possible de modifier l’usage d’un nom de domaine soit :

  • en prenant directement la main sur le nom de domaine afin de modifier les serveurs DNS indiqués au niveau du whois, ou encore ;
  • en prenant directement la main sur les serveurs DNS indiqués.

La deuxième approche, se situant au niveau des configurations techniques, est forcément moins visible que la première puisqu’elle ne nécessite aucune modification des informations whois et des serveurs DNS.

Pour autant, elle nécessite de s’attaquer directement aux serveurs DNS, ou presque… Et c’est ici que le FBI a commis une imprudence : le serveur DNS associé au nom de domaine et dédié à la gestion des noms de domaine saisis par le FBI reposait sur le nom de domaine (ns5.cirfu.net).

Or, ledit nom de domaine n’a pas été renouvelé par le FBI et est retombé dans le domaine public. Pire, le nom de domaine, dès lors disponible selon le principe du premier arrivé premier servi, a été réservé par un tiers le 19 juin 2016.

La procédure était alors simple pour ce nouveau titulaire : le nom de domaine étant encore le domaine support du serveur DNS des différents noms de domaine saisis par le FBI, dont megaupload.org, il suffisait de remettre en place un serveur DNS reposant sur ce nom et d’indiquer les redirections souhaitées.

C’est ainsi qu’est apparue, durant quelques jours, la page parking licencieuse signalée ci-dessous.

site adulte sur megaupload.org

Une telle prise de contrôle sur un nom de domaine via ses serveurs DNS s’apparente à du DNS hijacking.

Au demeurant, le nom de domaine est encore indiqué comme serveur DNS des noms de domaine , , , , et !

Et si vous souhaitez vous aussi mettre en place une redirection sur un nom de domaine qui générait autrefois plusieurs milliers de visites quotidienne et bénéficie encore d’un score Alexa élevé, il vous en coutera seulement 250€ puisque est désormais proposé à la vente sur la plateforme SEDO   : https://sedo.com/search/details/?language=us&domain=cirfu.net.

Cet exemple rappelle l’importance de porter la plus grande attention aux noms de domaine sur lesquels reposent  vos serveurs DNS.

Ces noms de domaine doivent figurer comme critiques au sein de votre portefeuille et faire l’objet de la plus haute sécurité : DNSSEC, registrar et registry lock le cas échéant, accès restreint et nécessitant une double authentification, etc.

Si des modifications directes sur vos noms de domaine peuvent être aisément identifiées, la surveillance de vos zones files ainsi que de vos serveurs DNS est primordiale : la sécurité reste une chaine qui doit être surveillée de bout en bout.