DNS : le pire a été évité

Une solution ignorée

Elles n'ont hélas jamais été mises en oeuvre à grande échelle. La découverte de Dan Kaminsky aura donc au moins le mérite de remettre la sécurité du DNS sur le devant de la scène. Hélas, de là à ce que cela change réellement les choses, il y a un pas que les experts les plus désabusés s'abstiendront de franchir. Après tout, si les correctifs actuels rendent l'attaque largement plus difficile (l'entropie passe de 16 bits à 32 bits), pourquoi s'embêter à tout casser ? Et pourtant, au cour des remous provoqués par l'annonce de Dan Kaminsky, le nom de DNSSEC, ce vieux serpent de mer de la sécurité, a de nouveau été cité comme la seule protection efficace à 100% contre ce type d'attaque.

Les correctifs sont donc les seules réponses concrètes capables d'être apportées à ce problème dans l'immédiat. Attention cependant, l'Internet Storm Center met en garde leur application sur des serveurs très chargés (au delà d'une dizaine de milliers de requêtes par seconde), car la technique de protection mise en oeuvre est gourmande en ressource. De même, il semblerait que certains pare-feu personnels soient perturbés par le changement apporté aux serveurs (ce serait notamment le cas de ZoneAlarm avec le correctif Microsoft pour Windows). 

Enfin, les plus curieux qui espéraient trouver ici le détail de l'attaque en question seront déçus. Selon Dan Kaminsky, celle-ci repose sur la capacité de l'attaquant à deviner où atterrira la réponse à une question posée par un serveur DNS, afin de la prendre de vitesse et faire avaler n'importe quoi au serveur. S'il y parvient, le pirate sera alors en mesure de contrôler où iront réellement les utilisateurs qui comptent sur ce serveur pour aller sur leurs sites favoris.

Il fallait écouter DJB

La devinette impliquant entre autre de connaître le numéro du port d'où proviendra la réponse, la parade trouvée par les éditeurs consiste à faire changer ce dernier de manière beaucoup plus agressive à chaque question (et non plus à chaque redémarrage du serveur, comme c'est le cas pour BIND). La technique s'appelle "source port randomization", et elle était déjà prêchée (dans le désert, au demeurant) depuis plusieurs années par un certain Daniel J. Bernstein, chercheur et professeur bien connu dans le petit monde de la sécurité. N'étant jamais mieux servi que par soi-même, Bernstein a d'ailleurs développé son propre serveur DNS mettant en oeuvre ses principes, djbdns. Sans trop de surprise, djbdns n'est pas vulnérable à l'attaque découverte par Dan Kaminsky. D'ailleurs, un prix de 500$ tient toujours pour qui découvrira une vulnérabilité dans le logiciel.

Dan Kaminsky, quant à lui, en appelle aux hackers du monde entier de ne pas publier leurs trouvailles s'ils étaient tentés de re-découvrir les détails de "sa" vulnérabilité. Et il promet à tous ceux qui trouveraient la faille, s'ils prennent la peine de ne pas la publier mais de lui en faire part en privé, de les inviter sur scène avec lui lors de sa présentation à la Black Hat. Et ça, pour un hacker, ça veut dire quelque chose !