DNS : le pire a été évité

Administrateurs, ne tardez pas à mettre à jour vos serveurs DNS ! Découverte en grand secret en début d'année par le chercheur américain Dan Kaminsky, une technique d'attaque contre les serveurs DNS permettrait d'empoisonner ces derniers et de les forcer à diriger silencieusement leurs utilisateurs vers des sites malveillants. Une telle attaque a cela de diabolique qu'elle est totalement invisible pour l'utilisateur : même s'il entre la bonne adresse dans son navigateur, il arrivera malgré tout sur un site piégé. Menée sur les serveurs DNS d'un fournisseur d'accès ou d'une grande entreprise, cette attaque aurait des conséquences dramatiques (cela s'est d'ailleurs déjà vu, mais les victimes sont restées particulièrement discrètes)

L'attaque elle-même - le cache poisoning - n'a donc rien de franchement nouveau. La nouveauté, ici, c'est manifestement la facilité avec l'attaque peut être menée, et son taux de succès particulièrement élevé contre bon nombre d'implémentations DNS du marché. Une chance cependant, la vulnérabilité ne concerne que les serveurs DNS qui gardent en mémoire ("caching") les adresses qui leur sont demandées. Cela représente beaucoup d'entre eux, certes, mais au moins les serveurs racines - le saint des saints grâce à qui l'Internet fonctionne encore - ne sont pas touchés. De même, les serveurs dits "autoritatifs" (sic) ne sont pas concernés. C'est que l'on n'empoisonne pas l'autorité comme ça...

Dan Kaminsky se refuse pour l'heure à publier les détails de sa découverte. Il le fera le mois prochain à l'occasion de la conférence Black Hat / Defcon à Las Vegas, aux Etats-Unis. D'ici là, la vulnérabilité est supposée ne pas avoir été exploitée et il est donc encore temps de mettre les serveurs DNS à jour.

Les correctifs sont disponibles

Et cela tombe bien, car les correctifs sont maintenant disponibles. Dans un étonnant mouvement coordonné, la plupart des grands acteurs de la IT, souvent éditeurs d'un maillon quelconque de la chaîne du DNS, ont publié des correctifs pour leurs produits respectifs. Selon Dan Kaminsky cette initiative est unique en son genre : des représentants des éditeurs concernés (Cisco, Nominum, Neustar, OpenDNS, etc...) ainsi que des experts reconnus (dont Paul Vixie, une légende des premières heures du net) et des institutions d'alerte majeures (US-CERT) se seraient réunis en grand secret chez Microsoft au mois de mars dernier afin de débattre de la marche à suivre pour éviter la cyber-apocalypse. Et ils ont finalement accouché d'une idée somme toute peu originale : corriger leurs produits respectifs. Oui, mais aussi de publier leurs correctifs tous en même temps, afin de laisser le moins de temps possible aux pirates pour tenter de re-découvrir la vulnérabilité afin de l'exploiter.

D'autres fournisseurs semblent cependant avoir corrigé leurs outils en douce au cours du mois de juin. Peut-être étaient-ils vexés de ne pas avoir été invités...

Les rustines ne règlent cependant pas la source du problème. Elles rendent simplement l'attaque (beaucoup) plus difficile. Si l'on souhaite véritablement éradiquer cette menace, il faudra radicalement changer le protocole DNS. Et cela semble encore loin d'être envisageable tant ce dernier est une pierre angulaire de l'Internet et des réseaux. Pourtant, comme nous l'indiquions en octobre 2000 avec toute l'exubérance et la naïveté de la jeunesse, des approches plus sûres existent (ici, il s'agit de DNSSEC mais d'autres sont envisageables).