Correction ‘collective’du DNS

Différentes entreprises telles que Microsoft, Cisco, Sun et autres, ont édité en même temps un logiciel correctif pour une vulnérabilité dans le Domain Name System.

Différentes entreprises telles que Microsoft, Cisco, Sun et autres, ont édité en même temps un logiciel correctif pour une vulnérabilité dans le Domain Name System.

Un chercheur d’IOActive, Dan Kaminsky, a constaté il y a six mois une, selon ses termes, nouvelle variante d’un problème déjà connu dans le DNS – le Domain Name System qui assure la traduction des noms du type ‘www.zzzzzzz.xxxx’ en adresses IP. Contrairement à ce qui se passe généralement, il n’a pas publié immédiatement cette information, mais en a informé les principaux producteurs de matériel et de logiciels pour les applications DNS.

Ces derniers mois, un “patch” ou logiciel correctif a été mis au point. En début de semaine, il a été proposé simultanément aux clients par toute une série de fournisseurs. Une véritable première compte tenu du grand nombre d’entreprises participantes.

En règle générale, on recommande vivement d’installer ce patch le plus rapidement possible. Des pirates pourraient en effet abuser de cette vulnérabilité pour dérouter les internautes vers des sites indésirables où les attendent, entre autres, toute une panoplie de logiciels malveillants.

Le plus grand secret règne encore autour de la nature exacte et du mode de fonctionnement du correctif (son inventeur, Kaminsky, fera un exposé à ce propos au cours du prochain BlackHat). Selon toute vraisemblance, il devrait s’agir d’un cas de “cache poisoning”, c’est-à-dire que l’information d’un serveur DNS (par exemple auprès du FAI que vous utilisez pour accéder à la Toile) qui se trouve dans la mémoire cache est erronée et renvoie à un site mis en place par le pirate. La critique épingle que ce n’est pas vraiment un nouveau problème et Kaminsky de rétorquer que la vulnérabilité concrète l’est vraiment.

Étant donné la nature fondamentale de ce problème, il importe également d’installer ce patch tous azimuts – les serveurs avec logiciel DNS figurant en tête de liste des priorités. D’après les bruits de couloir, il semble que le patch ait été créé de manière à divulguer le moins possible d’informations sur la vulnérabilité.

Ajoutons qu’il convient de relativiser la gravité de la situation parce que l’exécution d’une telle attaque n’est pas vraiment à la portée d’amateurs. Par ailleurs, d’aucuns pointent du doigt les autorités chinoises qui utilisent apparemment le DNS poisoning pour bloquer l’accès aux sites qui vont à l’encontre de ses politiques Internet.

Il est en outre intéressant de constater le rôle informatif déterminant joué par la Computer Emergency Readiness Team (du ministère américain de la Sécurité Intérieure). Dans ce domaine, la Belgique fait pâle figure, car aucune CERTeam générale n’y est encore active (par contre, une CERT plus pointue existe pour Belnet).