Le DNS traduit chaque adresse web tapée par vos employés en destination réelle sur Internet. Sans que personne ne le détecte côté utilisateur, des attaquants savent corrompre ce mécanisme pour substituer une fausse destination à la vraie. On appelle ça le DNS spoofing et le cache poisoning. Pour s’en protéger, il existe des filtres DNS gratuits, accessibles sans compétences réseau.

Dans une attaque par DNS spoofing, un attaquant a déjà glissé une fausse adresse dans ce résolveur, une adresse qui pointe vers un serveur sous son contrôle - ©Sam potrait / Shutterstock
Dans une attaque par DNS spoofing, un attaquant a déjà glissé une fausse adresse dans ce résolveur, une adresse qui pointe vers un serveur sous son contrôle - ©Sam potrait / Shutterstock

Chaque fois qu’un de vos employés tape une adresse dans son navigateur, une requête part interroger un serveur DNS. Par ce serveur, votre réseau traduit un nom de domaine en adresse numérique, puis rejoint le bon serveur. En quelques millisecondes, il ne se passe rien de perceptible pour votre collaborateur. Or les ingénieurs qui ont conçu ce protocole dans les années 1980 n’ont pas prévu d’authentification des réponses, de sorte qu'un attaquant peut aujourd’hui substituer une fausse adresse à la vraie. Chaque machine de votre réseau qui interroge ce serveur corrompu rejoint alors le mauvais endroit, sans que rien ne vous le signale.

Deux techniques exploitent cette faille de conception : le DNS spoofing et le cache poisoning. Et pour cause, vous ne les identifiez pas et il n’existe pas beaucoup d’outils de protection standard.

BitdefenderBitdefender
8.4/10

Offre partenaire

La solution tout-en-un pour protéger votre entreprise

Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !

Protégez votre entreprise

Offre partenaire

Le DNS spoofing : un attaquant remplace l’adresse réelle de votre site bancaire par la sienne, sans toucher à votre réseau

Quand un de vos employés tape banque.com, par exemple, son navigateur interroge un résolveur DNS pour obtenir l’adresse numérique correspondante. Dans une attaque par DNS spoofing, un attaquant a déjà glissé une fausse adresse dans ce résolveur, une adresse qui pointe vers un serveur sous son contrôle. La page qui s’affiche sur l’écran de votre employé est une copie de l’original. Il n’y a rien d’anormal dans la barre d’adresse.Tout ce que votre employé saisit sur ce site repart directement vers l’attaquant, qui peut ensuite accéder aux comptes réels ou usurper son identité. Il n'y a eu aucun clic suspect, aucune alerte de votre côté. Votre employé a fait exactement ce que vous lui avez appris à faire.

Le cache poisoning : comment des attaquants corrompent le carnet d’adresses de votre réseau pour y glisser leurs propres destinations

Pour ne pas redemander les mêmes informations à chaque requête, votre résolveur DNS stocke temporairement les réponses déjà obtenues dans un cache, le carnet d’adresses local de votre réseau. Ce stock, c’est le graal des cybercriminels. Ils cherchent à le corrompre, car une fois modifié, il oriente tous vos employés vers de fausses destinations.

Pour y parvenir, ils injectent une réponse frauduleuse dans votre résolveur, en lui faisant croire qu’elle provient d’une source légitime, de sorte que l’information falsifiée touche ensuite tous les utilisateurs qui passent par ce serveur.

Le cache poisoning, c'est donc la méthode qui consiste à corrompre le cache. Le DNS spoofing, c'est son résultat. Votre employé aboutit quelque part où il ne devait pas aller. L’un sert à mettre en œuvre l’autre.En octobre 2025, l’Internet Systems Consortium a signalé une vulnérabilité critique dans BIND, le logiciel DNS le plus répandu au monde, référencée CVE-2025-40778. Des attaquants non authentifiés pouvaient manipuler des enregistrements DNS par empoisonnement de cache. Plus de 700 000 serveurs dans le monde étaient potentiellement exposés.

Le DNS spoofing : un attaquant remplace l’adresse réelle de votre site bancaire par la sienne, sans toucher à votre réseau - ©Nur Alam Graphics / Shuttertsock

Quand un attaquant contrôle la destination, vos employés transmettent identifiants et données bancaires à leur insu

Ce type de faille touche des infrastructures que vous n’administrez pas vous-même, celles de votre opérateur ou de votre hébergeur. En 2022, sur environ 30% des réseaux Internet, les opérateurs n'appliquaient pas de filtrage de sortie sur les paquets, ce qui a laissé la possibilité à des attaquants d’injecter des données falsifiées depuis n’importe quel point du réseau.

Même si votre réseau interne est bien administré, vous n’êtes plus protégé dès le portail de sortie de votre structure. Vos collaborateurs en déplacement vont se connecter au Wi-Fi d’un hôtel ou chez un client, lesquels passent par un résolveur DNS inconnu et qu’ils ne maîtrisent pas. Un attaquant positionné sur ce réseau peut empoisonner ce résolveur et intercepter toutes leurs requêtes, sans que personne ne remarque quoi que ce soit.

La PME meusienne Bois E. France a perdu près de 15 000 euros après que son gérant eut saisi ses identifiants bancaires sur un faux site aux couleurs du Crédit Agricole. Le tribunal de commerce de Bar-le-Duc a refusé le remboursement en avril 2026, estimant que la victime avait elle-même facilité l’escroquerie. Et bien sûr, les journaux de sécurité n’ont signalé aucun détournement d’une requête DNS.

Les outils gratuits pour bloquer ces attaques sans DSI ni budget réseau

Dans l’interface d’administration de votre routeur d’entreprise, il vous suffit de remplacer les adresses DNS par défaut par celles d’un résolveur qui filtre les domaines malveillants avant de répondre à vos employés. Pas besoin d’une installation sur les postes ni d’intervenir sur chaque machine.

Géré par une organisation à but non lucratif basée en Suisse, Quad9 bloque automatiquement les domaines malveillants connus, sans configuration supplémentaire, et ne conserve aucun log de vos requêtes. Cloudflare propose également des résolveurs spécialisés : 1.1.1.2 bloque les logiciels malveillants, 1.1.1.3 y ajoute le filtrage des contenus adultes.

Depuis le 9 juin 2025, il existe aussi DNS4EU, un résolveur public gratuit cofinancé par la Commission européenne, piloté par un consortium de neuf organisations réparties dans dix pays membres. Ses listes de domaines malveillants viennent des CERT nationaux européens, et toutes les requêtes restent traitées à l’intérieur de l’Union européenne. DNS4EU traite jusqu’à 1 000 requêtes par seconde par adresse IP, ce qui couvre largement les besoins d'une PME standard.

Ces résolveurs bloquent les domaines malveillants connus. Mais ils ne vérifient pas que la réponse DNS elle-même est authentique. C’est le rôle de DNSSEC : ce protocole ajoute une signature cryptographique à chaque enregistrement, et votre résolveur la contrôle avant de vous répondre. Dans son guide sur les architectures DNS, publié en juillet 2024, l’ANSSI explique que c'est une mesure efficace contre les empoisonnements de cache.

Votre bureau d’enregistrement de nom de domaine, qu’il s’agisse d’OVHcloud ou de Gandi, vous permet d’activer DNSSEC depuis son interface d’administration. Dès que votre résolveur vérifie ces signatures, un attaquant qui tente de falsifier une réponse se heurte à une signature cryptographique qu'il ne peut pas reproduire.