Ce billet est dans la lignée de mes billets taggués DNS, à savoir :
DNS - Vulgarisation
Résolution DNS et hébergement mutualisé
DNS et vie privée
DNS, DNSSEC et DNSCrypt

Qu'est-ce qu'un résolveur DNS menteur ?

En quelques mots, un résolveur DNS menteur ne renvoie pas l'erreur d'usage lorsqu'un domaine ou un sous-domaine n'existe pas mais feinte l'existence de celui-ci afin de dérouter le trafic. Si le logiciel est un navigateur web, celui-ci sera dirigé arbitrairement vers une page donnée. Cette page sera entièrement sous contrôle du fournisseur d'accès, une page de recherche par exemple, avec revenus publicitaires à la clef. Si le logiciel n'est pas un navigateur, celui-ci obtiendra simplement une réponse inappropriée et inexacte, possible source de dysfonctionnement. Concrètement, lorsqu'un internaute saisit un nom de domaine inexistant (par exemple le sous-domaine "encyclo.wikipedia.org"), une réponse positive est malgré tout retournée au browser pour le tromper, alors que la page n'existe pas. Source de cette définition Freezone.fr

Sur ce sujet, je vous recommande également la lecture du billet de Stéphane Bortzmeyer DNS Menteurs.

DNS cache poisoning

L'empoisonnement du cache DNS ou pollution de cache DNS (DNS cache poisoning ou DNS cache pollution en anglais) est une technique permettant de leurrer les serveurs DNS afin de leur faire croire qu'ils reçoivent une réponse valide à une requête qu'ils effectuent, alors qu'elle est frauduleuse.Source

En quoi un résolveur DNS menteur, le DNS cache poisoning sont des problèmes

Je voudrais également mentionner le typosquatting. Le Typosquattage, en français, c'est le fait de réserver des noms de domaines assez proches de vrais noms, pour que si une personne se trompe en tapant l'adresse (par exemple gooogle.com), le site existe et s'affiche. La personne est alors, la plupart du temps, sur un site dont le but est de transmettre des virus et autres malwares qui vont infectés la machine.

Dans le cas d'un DNS menteur, l'adresse n'existe pas. Mais on n'a quand même quelque chose qui s'affiche. Ce peut être de la publicité, un site malveillant... Dans ce cas du DNS cache poisoning, l'adresse est correcte, le site existe, mais quand on se rend sur ce site, on arrive sur un autre site. On se retrouve ailleurs. Là encore, le "ailleurs" peut être un site qui va infecter la machine, un site de phishing/hameçonnage... Ou une volonté de censurer (en interdisant un accès à certains sites par exemple).

On est donc face au problème suivant : je me connecte à un réseau pour aller sur Internet. Et je n'ai aucune garantie, par défaut, que le site web que je consulte est bien le bon. J'ai beau avoir saisi une adresse dans la barre d'adresse, ou sélectionner un favori, le site qui s'affiche peut être le vrai site (dans la majorité des cas), mais également être un faux site. Et ce de part des techniques différentes : j'ai mal saisi l'adresse ou j'ai bien saisi l'adresse mais on me dirige vers un autre endroit... Mes précédents billets taggués DNS devraient suffire à vous convaincre des problèmes que cela peut engendrer, pour nos données personnelles, notre sécurité, notre vie privée...

Pour aller plus loin, la technologie RPZ

Si on veut aller un peu plus loin dans la technique, il y ces différents billets :
RPZ, cette technologie implémentée dans Bind depuis la version 9.8 qui permet très facilement de faire mentir le serveur DNS qui gère notre zone. Mise en place d'un DNS menteur avec Bind 9.8 et RPZ"
Toujours Stéphane Bortzmeyer : RPZ, un moyen simple de configurer un résolveur DNS BIND pour qu'il mente
Le DNS RPZ est une technique permettant au service DNS de modifier les réponses afin d'empêcher les utilisateurs finaux d'accéder à un domaine X ou Y. Un pare feu standard va filtrer certaines @IP et empêcher l'établissement de certaines session TCP, alors qu'un pare feu DNS cachera certaines réponses à l'utilisateur, d'ou son célèbre nom "DNS menteur". Un pare feu DNS ne bloque pas la réponse du serveur DNS d'origine (vu qu'il la garde dans sa cache), mais empêche l'utilisateur final de la recevoir en changeant la réponse. Il peut tromper l'utilisateur sur l'indisponibilité, l'inexistence du serveur ou domaine demandé ; il peut remplacer la réponse, voire lui renvoyer une réponse vide. http://www.annoratuto.com