Faille des DNS : et si le pire était encore à venir ?

C’était le 8 juillet dernier : les géants de l’informatique mondiale ont fait converger leurs travaux afin de produire rapidement des correctifs pour lutter contre une faille du mécanisme de DNS (Domain Name Server, serveur de gestion des noms de domaine sur Internet). Comme promis, Dan Kaminsky, chercheur chez IOActive et découvreur de la faille, a levé le voile sur quelques uns de ses détails, hier, à l’occasion de la conférence Black Hat. Mais il prévient : la menace n’est pas encore définitivement passée.

[section_title title=1. Faille des DNS : et si le pire était encore à venir ?]

Conformément à son engagement, Dan Kaminsky, chercheur chez IOActive et découvreur d'une faille affectant le DNS (le système reliant les adresses Internet et les adresses IP), est monté sur les planches à la conférence Black Hat pour s’expliquer sur ladite faille. Et de commencer par dresser un état des lieux mitigé.

Une faille encore trop peu corrigée…

Fin juillet, on apprenait que certains détails relatifs à la faille du mécanisme des DNS avaient fuité dans la nature par erreur. Au point que Computerworld pronostiquait une attaque imminente de pirates. Une attaque massive. Nos confrères étaient peut-être bien inspirés.

Selon Dan Kaminsky, qui avait souhaité maintenir le black-out sur la faiblesse des DNS jusqu'à ce 6 aoûtpour laisser le temps à l'industrie de produire des patchs et aux utilisateurs de les appliquer, 120 millions d’abonnés à Internet à haut débit sont désormais protégés, du fait de la réactivité de leurs fournisseurs d’accès à Internet. Ceux-ci ayant appliqué les correctifs diffusés par l'industrie. Cela représente 42 % du nombre total d’abonnés à Internet à haut débit dans le monde. «C’est cool» relève Dan Kaminski dans sa présentation. Mais est-ce assez?

La situation est un peu meilleure du côté des entreprises. Parmi celles qui figurent dans le prestigieux Fortune 500, 15 % n’auraient pas encore appliqué de correctif et 15 % souffriraient encore de bogues relatifs à la translation d’adresses (NAT). Côté serveurs de messagerie, les chiffres sont à peu près comparables avec 17,25 % des entreprises du Fortune 500 qui resteraient vulnérables et 21,75 % toujours empêtrées dans des problèmes de NAT.

Regardez une vidéo montrant la diffusion des correctifs pour la faille des DNS.

Après cet état des lieux, la révélation de la faille elle-même. Le plus surprenant dans la présentation de Dan Kaminsky, c’est la simplicité de l’attaque contre les DNS. Elle consiste principalement à noyer un serveur de noms de requêtes. Chacune dispose d’un identifiant unique, un parmi 65 536 possibles, censé éviter qu’un pirate ne puisse fournir une adresse IP erronée à un internaute voulant accéder à un site Web. En multipliant des requêtes sur la base d’une légère variation (1.lemagit.fr, 2.lemagit.fr, etc.), un pirate pourra finir par trouver l’identifiant d’une requête et diffuser des réponses erronées.

Au total, Kaminsky estime à 35 le nombre de façons différentes d’exploiter cette faille. Le correctif consiste essentiellement à rendre la tâche du pirate plus compliquée en rendant aléatoire le choix du port utilisé pour les requêtes: on passe d’un rapport de forces de 65 536 contre 1 à 163 000 000 contre 1, au moins, et à plus de deux millions contre 1 au mieux.

Une faille triviale aux implications encore larges

Selon Dan Kaminsky, les DNS placés derrière des pare-feu ne sont pas à l’abri. L’attaque peut en outre porter sur les navigateurs Web, mais s’applique aussi aux clients et serveurs de messagerie électronique, notamment dans le cadre de la lutte contre les pourriels, ou encore aux dispositifs de prévention et de détection d’intrusion (IPS/IDS). Et le chercheur de rappeler que les certificats SSL s’appuient aussi sur les DNS. Et voilà qui renvoie à la sécurité des connexions HTTPS, pour ne mentionner qu’elles.

Au final, Dan Kaminsky dresse un tableau très sombre de la sécurité d’Internet et des services en ligne, en raison de leur dépendance vis-à-vis des DNS. Il encourage tous les acteurs du réseau à s’atteler activement à sa sécurisation.

Pour approfondir sur Menaces, Ransomwares, DDoS