En juillet 2024, Celer Network a lancé une alerte : plusieurs sites crypto avaient leurs DNS détournés depuis des comptes Squarespace. Les utilisateurs tapaient la bonne adresse, arrivaient sur un clone parfait, et entraient leur seed phrase sans se douter de rien. Le temps que l'info circule sur Twitter, des portefeuilles avaient déjà été vidés.
Je trouve ça flippant parce que le DNS hijacking ne repose pas sur une erreur de l'utilisateur. Vous pouvez être le gars le plus paranoïaque du monde, vérifier l'URL lettre par lettre, et quand même vous faire avoir. Le problème est en amont, là où personne ne regarde.
Comment fonctionne un détournement DNS en pratique
Quand vous tapez "binance.com" dans votre navigateur, votre machine interroge un serveur DNS pour traduire ce nom en adresse IP. C'est ce serveur qui dit "binance.com = 13.225.78.42". Le DNS hijacking consiste à modifier cette réponse pour pointer vers une autre IP, celle du site pirate.
Concrètement, l'attaquant peut agir à plusieurs niveaux. Il peut compromettre le registrar (l'entreprise qui gère le nom de domaine), comme ça s'est passé avec GoDaddy quand Cream Finance et PancakeSwap se sont fait détourner. Il peut aussi empoisonner le cache DNS de votre FAI, ou infecter votre routeur domestique pour rediriger toutes vos requêtes.
Le résultat est le même dans tous les cas : vous voyez la bonne URL dans la barre d'adresse, mais le site derrière est un clone. Le certificat SSL peut même être valide si l'attaquant en a généré un via Let's Encrypt. C'est pour ça que le phishing classique reste dangereux, mais le DNS hijacking est un cran au-dessus en sophistication.
Les attaques qui ont marqué la crypto
EtherDelta en 2017 a été l'un des premiers cas médiatisés. Les attaquants ont pris le contrôle du DNS de cet exchange décentralisé et redirigé les utilisateurs vers un clone. Bilan : environ 266 ETH volés en quelques heures, soit plus de 800 000 dollars au cours de l'époque.
En 2021, Cream Finance et PancakeSwap ont subi le même sort via leurs comptes GoDaddy compromis. Les faux sites demandaient aux visiteurs de "reconnecter" leur wallet, ce qui déclenchait une approbation de contrat malveillant. Une fois signé, tous les tokens du portefeuille partaient.
Plus récemment en 2024, une campagne a ciblé environ 70 000 domaines en exploitant des failles dans la gestion DNS de plusieurs registrars. Ce n'était pas que de la crypto, mais les projets DeFi étaient clairement dans la ligne de mire. Si vos fonds sont sur un faux site d'exchange, il est souvent trop tard quand vous vous en rendez compte.
Pourquoi les projets crypto sont des cibles privilégiées
La raison est simple : les transactions crypto sont irréversibles. Quand un attaquant vole vos identifiants bancaires via un faux site de banque, la banque peut annuler les virements. En crypto, une fois que les fonds sont partis, c'est terminé. Pas de service client, pas de chargeback.
Les protocoles DeFi ajoutent une couche de risque supplémentaire. Quand vous "connectez votre wallet" sur un site DeFi, vous signez souvent des approbations de tokens illimitées. Un site cloné peut vous faire signer une approbation qui donne à l'attaquant un accès total à vos tokens, sans même avoir besoin de votre seed phrase. C'est pour ça que la sécurisation de votre portefeuille passe aussi par la vérification de ce que vous signez.
Comment détecter un DNS hijacking
Honnêtement, c'est difficile. Le principe même de l'attaque est d'être invisible. Mais il y a quelques signaux.
Le certificat SSL peut changer. Si votre navigateur affiche soudainement un avertissement de sécurité sur un site que vous visitez tous les jours, ne passez pas outre. Vérifiez les détails du certificat : l'émetteur, la date de création. Un certificat Let's Encrypt créé hier sur binance.com, ça devrait vous alerter.
Les temps de chargement anormaux sont un autre indice. Un site cloné hébergé sur un serveur bas de gamme sera souvent plus lent. Si votre exchange habituel met soudainement 5 secondes à charger alors qu'il était instantané, posez-vous la question.
Les requêtes de reconnexion suspectes aussi. Si un site vous demande de "reconnecter votre wallet" alors que vous étiez déjà connecté, ou de "ressaisir votre seed phrase pour des raisons de sécurité", fermez l'onglet immédiatement. Aucun site légitime ne demandera jamais votre seed phrase.
Se protéger concrètement
La première chose à faire est de changer vos DNS par défaut. Les DNS de votre FAI sont souvent mal sécurisés. Passez sur Cloudflare (1.1.1.1) ou Google DNS (8.8.8.8), qui implémentent DNSSEC et sont plus résistants à l'empoisonnement de cache.
Activez DNSSEC si votre domaine le supporte. DNSSEC ajoute une signature cryptographique aux réponses DNS, ce qui empêche leur modification en transit. Ce n'est pas parfait (ça ne protège pas contre la compromission du registrar), mais ça bloque les attaques par empoisonnement de cache.
Pour vos exchanges, utilisez les bookmarks plutôt que la barre d'adresse. Un bookmark pointe vers une IP résolue au moment de sa création. Ce n'est pas infaillible, mais ça réduit la surface d'attaque. Et activez toujours la double authentification, parce que même sur un faux site, sans le code 2FA, l'attaquant ne peut pas se connecter à votre vrai compte.
Investissez dans un hardware wallet comme Ledger pour vos fonds importants. Même si vous signez une transaction sur un site cloné, le Ledger vous montrera l'adresse de destination réelle sur son écran. Si l'adresse ne correspond pas, refusez la transaction.
Le cas particulier des protocoles DeFi
Les protocoles DeFi sont plus vulnérables que les exchanges centralisés pour une raison technique : ils fonctionnent entièrement via leur frontend web. Quand Binance se fait détourner son DNS, l'attaquant obtient vos identifiants, mais vos fonds restent sur les serveurs de Binance. Quand un protocole DeFi se fait détourner, l'attaquant peut directement interagir avec vos fonds on-chain.
C'est pour ça que des projets comme Uniswap publient leur interface sur IPFS en plus du web classique. IPFS est un réseau décentralisé qui ne dépend pas du DNS. L'adresse IPFS d'Uniswap fonctionne toujours, même si le domaine uniswap.org est compromis.
Mon conseil : pour les protocoles DeFi que vous utilisez régulièrement, notez leur adresse IPFS ou vérifiez-la sur leur GitHub officiel. C'est un filet de sécurité que peu de gens connaissent.
Ce que je retiens après avoir couvert le sujet
Le DNS hijacking me rappelle pourquoi la décentralisation n'est pas qu'un buzzword. Toute l'infrastructure crypto repose encore sur des systèmes centralisés : des registrars comme GoDaddy, des hébergeurs classiques, des certificats SSL traditionnels. L'attaquant n'a même pas besoin de toucher à la blockchain. Il suffit de compromettre un maillon de la chaîne web traditionnelle.
La bonne nouvelle, c'est que les solutions existent. DNSSEC, hardware wallets, vérification des adresses on-screen, interfaces IPFS. Aucune n'est parfaite seule, mais combinées, elles rendent l'attaque beaucoup plus compliquée.
Si vous voulez comprendre les autres vecteurs d'attaque qui menacent vos cryptos, regardez aussi comment fonctionne le SIM swapping et les trojans spécialisés crypto.
