Le routeur de votre maison intercepte peut-être une partie de votre trafic Internet, mais cela peut être pour votre propre bien

Le routeur de votre domicile intercepte peut-être une partie de votre trafic Internet et l’envoie vers une destination différente. Plus précisément, le routeur peut intercepter le trafic du système de noms de domaine, c’est-à-dire les communications utilisées pour traduire les noms de domaine lisibles par l’homme (par exemple, www.google.com) en adresses IP (Internet Protocol) numériques sur lesquelles Internet s’appuie. C’est la découverte d’une équipe d’informaticiens de l’Université de Californie à San Diego, qu’ils ont présentée lors de la conférence Internet Measurement le 3 novembre 2021.

Pourquoi est-ce important ?

« La principale préoccupation est la confidentialité », a déclaré Audrey Randall, doctorante. étudiant en informatique à l’Université de Californie à San Diego et premier auteur d’un article sur ce sujet. « Lorsque vous visitez un site Web, vous devez d’abord effectuer une recherche DNS pour ce site. Ainsi, celui qui obtient votre trafic DNS peut voir tous les sites que vous visitez. En principe, vous pouvez choisir qui effectue vos recherches DNS et vous pouvez choisir une entreprise en qui vous avez confiance pour ne pas vendre vos données ou une entreprise qui utilise une sécurité robuste pour protéger ses journaux. Mais si votre trafic DNS est intercepté et acheminé en silence ailleurs, alors quelqu’un d’autre peut voir toutes ces informations. « 

De nombreux cas d’interception DNS ne sont pas malveillants, a souligné Randall. Souvent, l’interception est utilisée par les fournisseurs de services Internet (FAI) pour protéger les utilisateurs contre les logiciels malveillants qui contactent des résolveurs DNS (Domain Name System) particuliers, qui sont essentiellement les annuaires téléphoniques d’Internet. Ces résolveurs transforment l’URL du site Web que les utilisateurs saisissent dans un navigateur en une adresse IP pour les serveurs qui stockent le contenu du site Web. Dans ce cas, l’interception peut être utile, en empêchant les logiciels malveillants d’endommager l’ordinateur d’un utilisateur.

Les chercheurs ont même trouvé un cas d’interception qui n’était ni malveillant ni bénin : il s’agissait d’un simple bug. L’équipe de l’UC San Diego a divulgué ce bogue à deux fournisseurs de services Internet. Les deux ont dit qu’ils travailleraient pour résoudre les problèmes. Cependant, les requêtes DNS fournissent également des données précieuses sur le comportement des utilisateurs qui peuvent être vendues aux annonceurs, ce qui peut fournir un motif moins altruiste à certaines entreprises pour les intercepter.

Le phénomène de l’interception DNS a été étudié ces dernières années, mais jusqu’à présent, on savait peu de choses sur l’endroit où l’interception du réseau avait lieu. Il s’avère que dans un nombre surprenant de cas, les routeurs domestiques des utilisateurs sont en cause.

Ces routeurs n’envoient pas de requêtes DNS au résolveur DNS cible spécifié par l’utilisateur. Au lieu de cela, le logiciel les redirige vers un autre résolveur. La réponse à la requête est ensuite modifiée de sorte qu’elle semble provenir du résolveur cible d’origine. Cette modification rend l’interception « transparente » pour l’utilisateur, et donc très difficile à détecter.

Il est difficile de déterminer où a lieu l’interception transparente. Mais les chercheurs ont pu le faire en concevant une méthodologie innovante et astucieuse. Ils ont d’abord utilisé des requêtes DNS spéciales qui ont été inventées comme outils de débogage, mais ils ont découvert qu’aucune requête ne pouvait fournir suffisamment d’informations pour localiser l’emplacement d’un intercepteur. La clé s’est avérée être de comparer les réponses de deux requêtes spéciales : les réponses étaient identiques si l’intercepteur était le routeur domestique, mais différentes si l’intercepteur était ailleurs dans le réseau.

Même si l’interception DNS est souvent utilisée pour déjouer les logiciels malveillants, le fait demeure que les utilisateurs n’ont aucune idée que leur trafic est redirigé, ni vers où il est redirigé. « Si vous vous souciez suffisamment de savoir qui voit vos données et qui vend vos données aux annonceurs, vous voulez vous assurer que l’entreprise qui les gère est bien celle qu’elle prétend être », a déclaré Randall. « Lorsque ce type d’interception transparente est utilisé, vous pensez avoir le contrôle sur votre trafic, mais ce n’est pas le cas. »

Les chercheurs mettent en garde contre le fait que leur étude comporte certaines limites. Par exemple, la plate-forme qu’ils ont utilisée pour mener leur étude n’est pas représentative de tous les cas d’interception, car elle sur-représente certains fournisseurs de services Internet, pays ou données démographiques.

La recherche a été publiée dans Actes de la 21e conférence de l’ACM sur la mesure de l’Internet.