faille_dns_header.jpg

Une faille structurelle

Découverte en début d'année 2008 par Dan Kaminisky (expert sécurité pour la société IOActive), la faille DNS a bien manqué de faire écrouler Internet tel que nous le connaissons.

Le DNS (Domain Name System) permet d'établir une correspondance entre un nom de domaine (ex : www.google.fr) et son adresse IP (174.125.39.104). La faillle structurelle (elle existe depuis la création d'Internet, en 1974) permet de rediriger un DNS vers une adresse frauduleuse, tout en faisant croire que celle-ci est valide. L'information se trouvant dans le cache du serveur, tous les clients s'en trouvent alors touchés.

L'attaque DNS cache Poisoning

dns_cache_poisoning.jpg[Source]

Concrètement, cette faille permet une attaque DNS cache poisoning , permettant un pharming (type de phishing - hameçonnage -) ultime (technique basée sur le Social engineering et le spoofing IP : usurpation d'identité).

L'internaute rentre l'url de sa banque, la faille permet de rediriger alors le flux vers une adresse pirate s'avérant être une copie conforme du site original. L'internaute transmet ses informations (numéro de compte / mot de passe) comme à son habitude, et sans s'en rendre compte, il les transmet au "mauvais destinataire" qui peut alors vider tous les comptes. Ce type d'attaque peut entraîner rapidement une crise d'Internet (liée à une crise de confiance) puis à une crise économique mondiale.

Dan Kaminisky voulait attendre le Black Hat de Las Vegas (Salon mondial pour hackers) pour décrire en détail la faille et présenter l'exploit. Cependant, contre ses recommandations, un groupe de hackers a créé un exploit permettant de faciliter l'attaque DNS cache Poisoning.

Un correctif fiable à 90%

datacenter_DNS.jpg

Pendant de longs mois, l'existence de la faille n'a pas été révélée et tenue ainsi dans le plus grand secret compte tenu de son fort potentiel destructeur et de la facilité de mise en oeuvre de l'attaque.

Les acteurs du Web (Microsoft, IBM, Cisco Systems, Sun Microsystems, Akamai, Alcatel, Siemens, Apple...) se sont ainsi réunis pour élaborer un correctif et l'appliquer sur leurs serveurs de façon plus ou moins synchronisée.

Le patch consiste à rendre les ports aléatoires (randomisation du port source) afin d'augmenter l'entropie (chaos, désordre d'un système) de 16 à 32 bits. Cette solution permet de rendre beaucoup plus difficile l'attaque sans pour autant la rendre inutile.

Une version sécurisée de DNS, DNSSEC, est efficace à 100% puisque se basant sur des certificats pour s'assurer de l'authenticité des paquets transmis. Cependant, elle n'est pas mise en application en vue de ses performances fortement réduites.

Notons que cette faille ne touche seulement les serveurs disposant d'un cache DNS.

Autres dangers

SSL.png

Dan Kaminisky a profité du salon pour évoquer deux autres dangers à fort potentiel :

  • Le protocole SSL (certificat sécurisant les flux bancaires par exemple), en reposant sur un service WEB pouvant être corrompu, pose un gros problème de sécurité.
  • Attaques par "oubli de mot de passe" : il s'agit ici de détourner les e-mails proposant le login et le mot de passe de la personne ayant fait la demande.

Pour plus d'informations :

Doxpora : DNS chekcker (pour vérifier si vos DNS sont patchés).

Patch de la faille DNS : kb.cert.org

Savoir utiliser au mieux les DNS : certa.ssi.gouv.fr

Poursuivre votre lecture sur le site