Exfiltration DNS : comment les pirates utilisent votre réseau pour voler des données sans être détectés

Les cybercriminels utilisent un large éventail de techniques pour voler des données commerciales sensibles, depuis les e-mails de phishing et le vol d'identifiants jusqu'aux logiciels malveillants et aux attaques internes. À mesure que les défenses de sécurité s’améliorent, les attaquants continuent de s’adapter, recherchant des moyens plus discrets d’échapper à la détection et d’extraire des informations précieuses, ce qui rend plus difficile que jamais la prévention efficace des violations de données.

Une méthode particulièrement difficile à détecter pour les entreprises est l’exfiltration DNS. Cette technique tire parti du système de noms de domaine, qui joue un rôle clé dans la communication sur Internet mais est rarement étroitement surveillé. En cachant les données dans le trafic DNS de routine, les acteurs malveillants peuvent supprimer des informations sans déclencher d'alarme.

Cela peut être utilisé pour un vol de données silencieux et prudent qui offre de nombreuses opportunités aux pirates, telles que le vol de données financières, de dossiers clients ou d'identifiants d'authentification. Par conséquent, comprendre comment cela fonctionne est essentiel pour atténuer les menaces modernes.

Le DNS est un élément fondamental de l'infrastructure Internet. Il traduit les noms de domaine en adresses IP, permettant aux navigateurs et aux applications de rechercher et de se connecter à des sites Web et à des services. Parce que cela est essentiel au fonctionnement normal du réseau, les requêtes adressées aux serveurs DNS sont généralement autorisées par défaut et sont rarement limitées par les défenses de cybersécurité.

Cela signifie que, contrairement à d’autres protocoles, le trafic DNS n’est souvent pas inspecté de près. Au lieu de cela, de nombreuses entreprises concentrent leurs efforts sur les activités de courrier électronique, Web ou de transfert de fichiers. En conséquence, le DNS est souvent négligé dans la surveillance de la sécurité et peut ne pas être enregistré ou filtré efficacement.

Cela en fait un canal idéal pour les attaquants effectuant une exfiltration de données à faible débit. En incorporant les données volées dans une série de requêtes DNS sortantes, ils peuvent transférer de petites quantités d'informations sans être détectés. Chaque requête semble légitime à première vue et se combine avec les milliers de requêtes DNS qu'une entreprise génère chaque jour, ce qui rend difficile la détection par les outils de prévention des pertes de données d'entreprise.

Au fil du temps, cette technique peut être utilisée pour extraire les identifiants de connexion, les documents internes ou d'autres informations sensibles sans déclencher d'alertes des pare-feu ou des outils de sécurité traditionnels.

L'exfiltration de données est l'objectif principal de nombreuses cyberattaques. Selon nos dernières recherches, 96 % des attaques de ransomwares survenues au troisième trimestre 2025 visaient à voler des données. L'exfiltration DNS est une technique secrète pour y parvenir qui abuse du processus normal de résolution de noms de domaine pour supprimer les informations volées d'un réseau.

Le trafic DNS étant essentiel à la connectivité Internet, il est rarement bloqué, ce qui permet aux attaquants de dissimuler des informations volées dans des requêtes de résolution de noms de routine qui semblent légitimes pour la plupart des outils de sécurité. Les attaquants divisent les données en petits fragments qui sont ensuite codés dans des noms de requête DNS, des étiquettes et des sous-domaines qui sont traités par des résolveurs récursifs, puis transmis à un serveur DNS faisant autorité contrôlé par l'attaquant, où les acteurs malveillants peuvent réassembler les données et les utiliser.

Voici comment fonctionne habituellement le processus :

1. Engagement initial : L'attaquant accède au réseau cible, souvent par le biais d'un phishing, d'un logiciel malveillant ou d'une vulnérabilité exploitée.
2. Collecte de données : Une fois à l’intérieur, l’attaquant localise des informations précieuses pouvant être exfiltrées via DNS, telles que les informations d’identification, les dossiers clients, la propriété intellectuelle ou les données financières.
3. Encodage des données : Les données volées sont divisées en morceaux suffisamment petits pour tenir dans la limite de caractères DNS, qui sont ensuite codés dans des requêtes DNS (généralement en Base32 ou Base64), souvent en utilisant des sous-domaines personnalisés. Par exemple, une partie d'un mot de passe pourrait être déguisée en x1a2b3c.example-attacker.com.
4. Transmission sortante : Le système infecté envoie ces requêtes via des requêtes DNS standard via le résolveur récursif de l'organisation, qui transmet la requête au serveur DNS autorisé contrôlé par l'attaquant. Étant donné que les pare-feu autorisent généralement le trafic DNS, cette étape passe souvent inaperçue.
5. Collecte de données : Le serveur DNS de l'attaquant reçoit les requêtes, extrait et réassemble les données pour finaliser l'exfiltration.

Cette méthode peut être utilisée pour voler un large éventail de données sensibles, notamment les identifiants de connexion, les documents internes, les informations client, les clés de cryptage et les paramètres système. Parce qu’elle fonctionne selon un protocole commun et fiable, l’exfiltration DNS est difficile à détecter sans surveillance spécifique.

L’exfiltration DNS étant conçue pour passer inaperçue, les entreprises doivent s’assurer que leur politique de prévention des pertes de données inclut la mise en œuvre de systèmes capables de surveiller et d’analyser le trafic DNS en temps réel. Sans visibilité sur cette couche, les attaquants peuvent exfiltrer silencieusement les données sensibles pendant des semaines ou des mois avant d'être découverts.

Cependant, même si l’exfiltration DNS est conçue pour être la plus discrète possible, certains signaux d’alarme peuvent néanmoins vous avertir d’une telle attaque en cours. Ceux-ci incluent :

• Volumes inhabituellement élevés de requêtes DNS provenant d’un seul appareil.
• Requêtes DNS vers des domaines inconnus ou rarement utilisés.
• Domaines avec de longues chaînes de sous-domaines d'apparence aléatoire.
• Requêtes répétées vers des sous-domaines inexistants sous le même domaine racine.
• Requêtes DNS qui se produisent à des heures impaires ou en dehors des modèles d'utilisation normaux.
• Trafic DNS sortant vers des serveurs en dehors de votre région géographique.
• Chaînes codées ou de type base64 intégrées dans les requêtes DNS.

Aucun de ces éléments ne peut confirmer une attaque, mais ensemble, ils peuvent indiquer un schéma d'activité suspect. Les outils de gestion de la protection des données qui utilisent l'analyse comportementale peuvent aider à détecter les données plus tôt et à réduire le risque de perte de données.

L’exfiltration de données DNS est conçue pour être subtile, ce qui signifie qu’au moment où elle est détectée, le mal peut déjà avoir été fait. C'est pourquoi résoudre ce problème devrait faire partie de la stratégie de prévention des pertes de données de toute entreprise.

Les entreprises doivent adopter une approche proactive pour surveiller l'activité DNS afin de détecter les signes révélateurs de violations de données mentionnés ci-dessus, et être en mesure de répondre rapidement aux tentatives d'arrêt avant qu'elles ne réussissent. Les principales mesures de prévention spécifiques au DNS comprennent :

• Limitez la sortie DNS afin que les points de terminaison puissent uniquement envoyer le trafic DNS à des résolveurs internes ou approuvés approuvés.
• Imposez l’utilisation de résolveurs DNS fiables pour empêcher la communication directe avec des serveurs contrôlés par des attaquants.
• Appliquez des politiques de filtrage DNS pour bloquer les requêtes vers des domaines suspects, nouvellement enregistrés ou de faible réputation.
• Analysez le comportement des requêtes DNS pour détecter des modèles anormaux, tels que des noms de requêtes longs, des sous-domaines excessifs ou une entropie de requête élevée.
• Intégrez les contrôles DNS dans une stratégie de défense en profondeur pour réduire le temps d’intervention des attaquants et arrêter l’exfiltration de données secrètes même après l’échec d’autres défenses.