Fuite DNS : les détails divulgués

Les détails de la grave fuite DNS annoncée au début de juillet par l’expert en sécurité Dan Kaminsky ont été divulgués. Cette nouvelle fuite accroît considérablement la nécessité d’appliquer des correctifs.

Les détails de la grave fuite DNS annoncée au début de juillet par l’expert en sécurité Dan Kaminsky ont été divulgués. Cette nouvelle fuite accroît considérablement la nécessité d’appliquer des correctifs.

Lundi après-midi, une entreprise de sécurité américaine, Matasano Security, a brièvement publié dans un blog en ligne une description de la grave fuite DNS annoncée au début de juillet par Dan Kaminsky. Si le blog a été supprimé, le mal était déjà fait. D’autres blogs ont entretemps publié une description de la façon dont des personnes mal intentionnées pourraient exploiter la fuite DNS. La méthode décrite permettrait de lancer contre des serveurs DNS des attaques clôturées en une dizaine de secondes.

Par souci de sécurité, Dan Kaminsky ne comptait révéler les détails de la fuite DNS que le 6 août, lors de la conférence sur la sécurité Black Hat de Las Vegas. Kaminsky n’a fait aucun commentaire sur l’exactitude de la description de Matasano, mais [annonce quand même, sur son blog] : “Appliquez vos correctifs. Dès aujourd’hui. Maintenant !”

Pieter de Boer, security consultant chez Madison Gurkha : “Le correctif que les fournisseurs mettent actuellement à disposition pour la fuite DNS signalée par Dan Kaminsky n’est qu’un palliatif temporaire. Il modifie le serveur de noms de façon à ce que ce dernier envoie des paquets UDP à partir d’un port émetteur aléatoire au lieu d’un port fixe (DNS emploie le protocole UDP, un protocole de base sur Internet). Ceci ne change rien à la cause du problème, à savoir le fait que le protocole DNS n’offre pas une protection suffisante contre les attaques contre les serveurs DNS. Les correctifs actuels le rendent plus contraignant. Une véritable solution impliquerait la modification du protocole (de façon à ce qu’il devienne encore plus contraignant) ou, mieux encore, l’emploi de DNSSEC (qui emploie la cryptographie pour sécuriser les serveurs DNS).”