PIIRATES Shadow IT
Comment les attaquants exploitent le télétravail et les usages cloud en 2026
17 juillet 2026

DNS Spoofing : mécanisme, exploitation en pentest et défense

Le DNS Spoofing consiste à falsifier une réponse du système de résolution de noms de domaine (DNS) afin de rediriger une victime vers une adresse IP contrôlée par l’attaquant, sans qu’elle en ait conscience. Cette technique d’usurpation DNS ne dépend pas d’une faille corrigeable par un correctif isolé : elle exploite l’absence d’authentification native du protocole DNS, conçu dans les années 1980 sans mécanisme de vérification d’origine des réponses.

Qu’il s’agisse d’un empoisonnement de cache DNS sur un réseau local ou d’une attaque de type Kaminsky contre un résolveur récursif, le principe reste identique : convaincre une machine qu’une réponse DNS falsifiée est légitime. Cette famille de techniques reste, aujourd’hui encore, l’un des vecteurs les plus fiables pour positionner un attaquant en interception du trafic réseau d’une organisation.

Cet article détaille le mécanisme technique du DNS Spoofing, les conditions nécessaires à son exploitation, et la manière dont l’équipe Piirates l’utilise dans le cadre de ses missions de test d’intrusion pour démontrer concrètement l’impact d’une résolution DNS non authentifiée.

Le DNS Spoofing, ou usurpation DNS, désigne l’ensemble des techniques permettant à un attaquant de falsifier une réponse du système de résolution de noms de domaine (DNS) afin de rediriger le trafic d’une victime vers une ressource qu’il contrôle. Contrairement à une vulnérabilité logicielle ponctuelle, le DNS Spoofing exploite une caractéristique structurelle du protocole DNS lui-même : conçu en 1983 pour la rapidité et la simplicité, il ne prévoyait initialement aucun mécanisme d’authentification des réponses. N’importe quelle réponse arrivant avec le bon identifiant de transaction, avant la réponse légitime, est acceptée par le client.

Le MITRE ATT&CK référence cette famille de techniques sous l’identifiant T1557, Adversary-in-the-Middle, qui couvre explicitement le détournement des protocoles de résolution réseau (ARP, DNS, LLMNR) pour positionner un attaquant entre deux systèmes communicants. Le DNS Spoofing s’inscrit également, dans ses variantes d’infrastructure, dans la logique de compromission de serveurs de résolution documentée par MITRE sous la catégorie Compromise Infrastructure.

Cet article détaille le mécanisme technique du DNS Spoofing, les conditions nécessaires à son exploitation, la manière dont l’équipe Piirates l’utilise dans le cadre de ses missions de test d’intrusion, la méthodologie de détection appliquée en mission, et les mesures de défense qui permettent d’en réduire durablement l’impact.

 

1. Le DNS Spoofing, une technique documentée depuis les origines du protocole, toujours d’actualité

 

Le DNS (Domain Name System) traduit les noms de domaine lisibles par un humain en adresses IP exploitables par les machines. Cette résolution de noms de domaine repose sur un échange de requêtes et de réponses, historiquement transmis en clair sur le port UDP 53, sans chiffrement ni signature garantissant l’authenticité de l’émetteur.

Cette absence d’authentification native du DNS est connue depuis les années 1990. L’attaque de cache poisoning documentée par Dan Kaminsky en 2008 a marqué un tournant : elle a démontré qu’il était possible d’empoisonner le cache d’un résolveur DNS récursif à grande échelle, bien au-delà d’un simple réseau local, en exploitant la prévisibilité des identifiants de transaction DNS. Depuis, le DNS Spoofing reste une technique pivot dans les tests d’intrusion internes, les campagnes de red team, et malheureusement dans de nombreuses attaques opportunistes visant à rediriger des utilisateurs vers des sites de phishing ou des serveurs de commande et contrôle.

La persistance de cette technique s’explique simplement : la grande majorité des réseaux d’entreprise continue de s’appuyer sur une résolution DNS non authentifiée en interne, sans DNSSEC ni chiffrement DoH (DNS over HTTPS) ou DoT (DNS over TLS) généralisé sur le poste de travail. Tant que cette configuration reste la norme, l’usurpation DNS demeure un vecteur d’attaque pleinement opérationnel.

Toutes nos missions sont spécifiques
Parce que vos enjeux le sont !

Le test d'intrusion est avant tout une philosophie qui, couplé avec nos compétences techniques multiples peut s'adapter aux différentes cibles.

2. Comment fonctionne une attaque de DNS Spoofing : mécanisme technique


Une attaque de DNS Spoofing vise toujours le même objectif : faire accepter à une victime une réponse DNS falsifiée avant que la réponse légitime ne lui parvienne, ou à sa place. Le mécanisme diffère selon le contexte d’attaque.

Le DNS Spoofing sur réseau local, combiné à l’ARP Spoofing. Sur un réseau local d’entreprise, l’attaquant commence généralement par un empoisonnement de la table ARP (ARP Spoofing), référencé par MITRE ATT&CK sous la sous-technique T1557.002, afin de se positionner en interception du trafic entre la victime et sa passerelle réseau. Une fois cette position d’intercepteur obtenue, l’attaquant observe les requêtes DNS émises par la victime et y répond directement avec une réponse DNS falsifiée, associant le nom de domaine demandé à une adresse IP qu’il contrôle, avant que le véritable serveur DNS n’ait le temps de répondre.

L’empoisonnement de cache DNS contre un résolveur récursif (cache poisoning distant). Dans ce scénario, popularisé par l’attaque Kaminsky, l’attaquant ne se positionne pas nécessairement sur le chemin réseau de la victime. Il envoie un grand nombre de réponses DNS falsifiées à un résolveur récursif, en tentant de deviner l’identifiant de transaction (Transaction ID) et le port source utilisés pour la requête légitime. Si l’une de ces réponses falsifiées arrive avant la réponse authentique et correspond aux bons identifiants, le résolveur met en cache l’enregistrement falsifié, empoisonnant ainsi les réponses fournies à tous les utilisateurs interrogeant ce même résolveur pendant la durée de vie (TTL) de l’enregistrement falsifié.

Le DNS Spoofing via un serveur DHCP malveillant. Une variante consiste à déployer un serveur DHCP non autorisé sur le réseau (Rogue DHCP, référencé T1557.003 par MITRE), qui distribue aux postes clients une configuration réseau indiquant un serveur DNS contrôlé par l’attaquant plutôt que le serveur DNS légitime de l’entreprise. Toutes les résolutions de noms de domaine des postes concernés transitent alors directement par l’infrastructure DNS de l’attaquant.

La modification directe de la résolution locale. Enfin, un attaquant ayant déjà obtenu un accès initial sur un poste peut modifier directement les paramètres de résolution locale (fichier hosts, configuration réseau du poste) pour forcer une redirection permanente vers une adresse IP malveillante, sans même avoir besoin d’intercepter le trafic réseau.

Dans tous les cas, le principe reste identique : substituer une réponse DNS falsifiée à la réponse légitime, avant, à la place, ou en lieu et place de la résolution DNS authentique attendue par la victime.


3. Conditions nécessaires à l’exploitation

Le DNS Spoofing ne fonctionne pas dans n’importe quel contexte. Certaines conditions doivent être réunies pour qu’une usurpation DNS aboutisse.

Absence de DNSSEC ou de validation stricte de la signature des réponses. DNSSEC signe cryptographiquement les enregistrements DNS et permet à un résolveur de vérifier l’authenticité d’une réponse. Sans cette validation, aucune réponse DNS n’est authentifiée, et la première réponse correspondant aux bons identifiants est acceptée, qu’elle soit légitime ou falsifiée.

Position réseau permettant l’interception ou l’envoi de réponses falsifiées. Pour un DNS Spoofing local, l’attaquant doit être positionné sur le même segment réseau que la victime, ou disposer d’un moyen de s’y positionner (ARP Spoofing, accès à un commutateur non sécurisé, point d’accès Wi-Fi compromis). Pour un cache poisoning distant, l’attaquant doit être en mesure d’envoyer un volume suffisant de réponses falsifiées avant l’arrivée de la réponse légitime.

Absence de protections réseau actives. Des mécanismes comme le Dynamic ARP Inspection (DAI) sur les commutateurs, le DHCP Snooping, ou une segmentation réseau stricte réduisent significativement la capacité d’un attaquant à se positionner en interception sur le réseau local.

Absence de chiffrement de la résolution DNS elle-même. Le déploiement de DNS over HTTPS (DoH) ou DNS over TLS (DoT) sur les postes clients empêche un attaquant positionné en interception réseau de lire ou de falsifier les requêtes et réponses DNS en clair.

Absence de vérification applicative complémentaire. Une application qui repose exclusivement sur la résolution DNS sans validation de certificat TLS strict (certificate pinning, HSTS) reste vulnérable à une redirection complète de son trafic, y compris chiffré en apparence, si l’attaquant peut également présenter un certificat frauduleux accepté par le client.


4. Comment Piirates utilise le DNS Spoofing en mission de pentest

Le DNS Spoofing occupe une place précise dans la méthodologie de test d’intrusion de Piirates, en particulier lors des missions de pentest interne et des campagnes de red team simulant un attaquant déjà positionné sur le réseau de l’entreprise.

Démonstration de l’impact d’une segmentation réseau insuffisante. Lorsqu’un client souhaite évaluer la robustesse de son architecture réseau interne, nos pentesters utilisent le DNS Spoofing, généralement combiné à un ARP Spoofing préalable, pour démontrer concrètement qu’un poste compromis ou un accès physique non autorisé sur un segment réseau insuffisamment cloisonné permet de rediriger le trafic d’autres collaborateurs, sans qu’aucune alerte ne soit levée par défaut.

Test de la résistance des mécanismes d’authentification face à une redirection de trafic. Le DNS Spoofing permet à nos équipes de vérifier si les applications internes du client résistent réellement à une redirection de leur trafic vers un service intercepteur, notamment lorsque des mécanismes de validation TLS stricts ou d’authentification multifacteur sont censés être en place. C’est un moyen concret de vérifier que ces protections fonctionnent réellement en conditions réelles, et pas seulement sur le papier.

Évaluation de la capacité de détection de l’organisation. Au-delà de la faisabilité technique de l’attaque, l’enjeu principal d’une mission intégrant du DNS Spoofing est d’évaluer si l’organisation cliente est en mesure de détecter une activité d’empoisonnement de cache DNS ou d’ARP Spoofing sur son réseau, via ses outils de supervision, son EDR, ou ses équipes internes.

Un usage strictement encadré contractuellement. Cette technique n’est jamais mise en œuvre par Piirates en dehors du périmètre et de la fenêtre temporelle définis contractuellement avec le client. Le déroulé exact des scénarios, les outils utilisés et les preuves de concept précises sont documentés dans le rapport de mission remis au client, mais ne sont jamais publiés ni partagés en dehors de ce cadre contractuel strict.


5. Méthodologie de détection en mission

Détecter une tentative de DNS Spoofing suppose de surveiller des signaux spécifiques, à la fois réseau et applicatifs.

Surveillance des tables ARP et détection d’incohérences. Une correspondance MAC/IP incohérente ou changeant anormalement souvent dans les tables ARP des équipements réseau constitue un signal fort d’ARP Spoofing préalable à un DNS Spoofing local.

Analyse des journaux de résolution DNS. La comparaison entre les réponses DNS observées et les enregistrements attendus, ainsi que la détection de résolutions vers des adresses IP inhabituelles pour des domaines internes connus, permettent d’identifier une usurpation DNS en cours.

Détection de serveurs DHCP non autorisés. Le DHCP Snooping sur les commutateurs réseau permet d’identifier et de bloquer un serveur DHCP malveillant tentant de distribuer une configuration DNS falsifiée.

Supervision des changements de certificats TLS. Un changement inattendu de certificat TLS sur un service fréquemment utilisé peut indiquer qu’un attaquant a réussi à rediriger le trafic vers un service intercepteur, y compris lorsque la résolution DNS elle-même semble correcte a posteriori.

Corrélation des alertes réseau et EDR. Nos pentesters recommandent systématiquement une corrélation entre les alertes réseau (ARP, DHCP, DNS) et les événements remontés par l’EDR sur les postes de travail, car une usurpation DNS isolée génère rarement une alerte suffisamment explicite à elle seule.


6. Contre-mesures


Déployer DNSSEC sur les zones DNS internes et externes, afin de garantir l’authenticité et l’intégrité des réponses DNS par signature cryptographique.

Généraliser le chiffrement de la résolution DNS via DNS over HTTPS (DoH) ou DNS over TLS (DoT) sur les postes de travail et les résolveurs internes.

Activer le Dynamic ARP Inspection et le DHCP Snooping sur l’ensemble des commutateurs réseau, afin de bloquer les tentatives d’ARP Spoofing et de serveurs DHCP non autorisés.

Segmenter strictement le réseau interne, afin de limiter la portée d’un empoisonnement de cache DNS ou d’un ARP Spoofing à un segment restreint plutôt qu’à l’ensemble du système d’information.

Imposer une validation TLS stricte côté applicatif (certificate pinning, HSTS), pour que la sécurité des échanges ne repose pas uniquement sur l’intégrité de la résolution DNS.

Aucune de ces mesures ne suffit isolément à éliminer le risque de DNS Spoofing. C’est leur combinaison, associée à une supervision réseau active, qui permet de réduire durablement la surface d’exploitation de cette technique d’usurpation DNS.

DNS Spoofing : mécanisme, exploitation en pentest et défense

Foire
Aux
Questions

Qu’est-ce que le DNS Spoofing exactement ?

Le DNS Spoofing, ou usurpation DNS, consiste à falsifier une réponse du système de résolution de noms de domaine afin de rediriger une victime vers une adresse IP contrôlée par un attaquant, sans que celle-ci en ait conscience. Cette technique exploite l’absence d’authentification native des réponses DNS.

Quelle est la différence entre DNS Spoofing et DNS Cache Poisoning ?

Le DNS Cache Poisoning est une forme de DNS Spoofing qui vise spécifiquement à empoisonner le cache d’un résolveur DNS récursif, affectant ainsi toutes les résolutions ultérieures effectuées par ce résolveur pendant la durée de vie de l’enregistrement falsifié. Le DNS Spoofing peut aussi désigner une falsification ponctuelle, notamment sur un réseau local combiné à de l’ARP Spoofing.

Le DNS Spoofing fonctionne-t-il encore en 2026 ?

Oui. Tant qu’un réseau interne ne déploie pas DNSSEC, un chiffrement systématique de la résolution DNS, et des protections réseau comme le Dynamic ARP Inspection, le DNS Spoofing reste pleinement exploitable, en particulier sur les réseaux locaux d’entreprise.

Comment Piirates utilise-t-il le DNS Spoofing en test d’intrusion ?

Nos pentesters utilisent le DNS Spoofing, dans un cadre contractuel strict, pour démontrer concrètement l’impact d’une segmentation réseau insuffisante, tester la résistance réelle des mécanismes d’authentification face à une redirection de trafic, et évaluer la capacité de détection de l’organisation cliente.

Comment se protéger efficacement contre le DNS Spoofing ?

En combinant DNSSEC, chiffrement de la résolution DNS via DoH ou DoT, Dynamic ARP Inspection et DHCP Snooping sur les commutateurs réseau, segmentation stricte du réseau interne, et validation TLS stricte côté applicatif.

DNS Spoofing : comment fonctionne l’usurpation DNS, comment Piirates l’utilise en pentest, et comment s’en protéger durablement.

Nos articles liés

Vous êtes arrivé jusqu’ici ?
Ne partez pas les mains vides.

La newsletter PIIRATES : la cyber vue du côté des attaquants.

Sans guide antivirus sponsorisé et sans de solution miracle, juste ce qu'on voit vraiment sur le terrain.

DNS Spoofing : mécanisme, exploitation en pentest et défense
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considérerons que vous acceptez l'utilisation des cookies.
Plus d'info