Un oubli coûteux : l’erreur DNS de MasterCard révélée après cinq ans

Posted On 24 Jan 2025

Un oubli dans la configuration DNS de MasterCard a exposé le géant des cartes de crédit à des risques d’interception de trafic. La faille, corrigée récemment, aurait pu permettre à des cybercriminels de détourner des données sensibles.

Pendant près de cinq ans, un simple oubli dans les paramètres DNS de MasterCard a laissé une porte ouverte à des risques majeurs de sécurité. Ce n’est qu’après l’intervention d’un chercheur en cybersécurité, qui a déboursé 300 dollars pour sécuriser un domaine vulnérable, que l’erreur a été corrigée.

Entre juin 2020 et janvier 2025, un serveur DNS essentiel au réseau de MasterCard utilisait un domaine mal configuré : “akam.ne” au lieu de “akam.net”. Cette erreur, bien que minime, a permis à Philippe Caturegli, fondateur de Seralys, de découvrir une faille potentiellement désastreuse pour la sécurité.

Le système DNS, souvent décrit comme l’annuaire téléphonique de l’Internet, traduit les noms de domaine en adresses IP. MasterCard s’appuie sur cinq serveurs DNS fournis par Akamai, mais l’un d’eux pointait vers un domaine inexistant appartenant au Niger (“.ne”).

Caturegli a rapidement compris que personne n’avait encore enregistré “akam.ne”. Après trois mois de démarches, il a sécurisé ce domaine pour éviter qu’il ne tombe entre de mauvaises mains. Les résultats de son initiative sont révélateurs : des centaines de milliers de requêtes DNS ont afflué chaque jour sur le domaine, témoignant de l’ampleur de la faille.

Pourquoi cette erreur était-elle si dangereuse ?

Comme le rappelle Kreb Security, un serveur de messagerie configuré sur “akam.ne” aurait pu recevoir des courriels destinés à MasterCard. Un attaquant aurait pu obtenir des certificats SSL légitimes pour intercepter le trafic sécurisé. Des données d’authentification Windows ou d’autres systèmes auraient pu être capturées passivement.

Caturegli a rapporté cette erreur directement à MasterCard, mais la société a minimisé l’incident, déclarant qu’aucun risque réel pour ses systèmes n’avait existé. Une réaction qui suscite la perplexité.

Au lieu de remercier Caturegli, MasterCard a émis des réserves sur sa divulgation publique via un post LinkedIn, estimant que cela allait à l’encontre des bonnes pratiques. Il a assuré avoir sécurisé le domaine avant de révéler publiquement l’erreur, une démarche alignée avec des pratiques éthiques de divulgation.

“Avant toute divulgation publique, nous avons sécurisé le domaine à nos frais, démontrant notre engagement envers des pratiques éthiques.” – Philippe Caturegli

MasterCard a insisté sur le fait que seul un cinquième des requêtes DNS aurait pu être affecté, puisque le réseau repose sur cinq serveurs. Mais Caturegli a expliqué qu’avec des résolveurs DNS publics comme ceux de Google ou Cloudflare, une attaque bien orchestrée aurait pu atteindre un public beaucoup plus large. En configurant un TTL (Time To Live) élevé sur ses serveurs, un attaquant aurait pu propager des données empoisonnées sur les grands fournisseurs de cloud, amplifiant ainsi l’impact potentiel.

Des leçons cruciales pour la cybersécurité

Cette affaire illustre les risques des erreurs humaines dans la gestion des infrastructures critiques. Une simple faute de frappe dans un domaine DNS peut ouvrir la voie à des violations massives de données. Les entreprises doivent redoubler de vigilance et adopter des pratiques rigoureuses pour prévenir ce type de faille. Caturegli, malgré les critiques, a mis en lumière un problème systémique qui dépasse MasterCard. Cette affaire s’inscrit dans une tendance plus large où des fautes similaires ont été exploitées par des cybercriminels dans le passé, comme le montre le cas des domaines AWS mal configurés.

En 2016, ZATAZ vous révélait comment un internaute français avait racheté un nom de domaine négligé par Microsoft pour la modique somme de 8 euros. Cette situation mettait déjà en lumière un problème fréquent : les entreprises oublient parfois de renouveler leurs noms de domaine, ouvrant la porte à des récupérations diverses. Ces adresses abandonnées sont souvent exploitées par des cybercriminels, notamment pour rediriger des utilisateurs vers des sites frauduleux, ou par des acteurs du marketing cherchant à monétiser ces URL via la publicité ou la revente.

Abonnez-vous gratuitement à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.