Ce 8 juillet 2008, une faille au sein de la structure même du réseau Internet vient d’être annoncée, concernant une fois encore les serveurs DNS et le risque d’usurpation d’identité. Cette faille n’est pas un bug à proprement parler, mais un défaut de conception, qui concerne une grande majorité des équipements, qu’il s’agisse des serveurs de votre fournisseur d’accès, de votre hébergeur de site web ou même de votre ordinateur.
La bonne nouvelle : Cette faille a été découverte il y a 6 mois par un expert en sécurité informatique, Dan Kaminsky, qui a alerté ses confrères dans le domaine des DNS. C’est finalement un groupe de 17 experts qui a travaillé dans le plus grand secret pour proposer une solution.
Cette solution ne pouvait passer que par une mise à disposition simultanée de correctifs logiciels, par tous les acteurs de l’industrie informatique. Microsoft, Cisco, Nominum,… ont ainsi mis à disposition de leurs clients une parade (patch) ce 8 juillet 2008.
Le risque était suffisamment important pour que les principaux fabricants et éditeurs mondiaux de logiciels travaillent de concert pour le résoudre.
Mais tout n’est pas encore complètement résolu… C’est pour cela que NeoDiffusion a pris l’initiative d’adresser un flash d’alerte à ses clients et abonnées à sa lettre d’information : le défaut et le risque consécutif seront présents jusqu’à ce que les équipements (routeur, ordinateur, …) soient mis à jour.
En conséquence : NeoDiffusion vous recommande vivement de vérifier s’il y a une mise à jour disponible pour vos équipements ; et si tel est le cas, appliquez la mise à jour aussi rapidement que possible.
Et cela concerne autant les administrateurs de sites Web, de serveurs (en particuliers ceux utilisant BIND), que nos ordinateurs personnels.
En l’occurrence, voici ce que nous a indiqué Windows ce 9 juillet :
Si vous souhaitez en savoir plus sur ce risque : Bien que les détails de cette affaire n’aient pas été dévoilés, pour ne pas faciliter la tâche des cyber-criminels…, les éléments fournis par le découvreur de cette faille globale me permettent de donner quelques explications :
Je l’ai évoqué à plusieurs reprises dans la newsletter NeoDiffusion : les DNS sont indispensables sur Internet pour pouvoir communiquer avec un serveur (email, web, VoIP…) en ne connaissant que le nom du serveur (sans connaître l’adresse IP).
Les serveurs DNS sont très nombreux sur terre, et répartis sous formes de hiérarchies à la manière d’un arbre généalogique. Le principe est le suivant : les « petits-petits-enfants », typiquement le serveur DNS de votre Fournisseur d’Accès Internet, n’ont pas besoin de demander à leurs « parents » quelle est l’adresse IP d’un serveur pour un nom donné à chaque fois qu’un de ses clients (votre ordinateur) lui pose la question. A l’issue de la première requête, ces « petits-petits-enfants » mémorisent la réponse pour un temps donné, pendant 24 heures environ, afin d’épargner les serveurs parents et le réseau Internet.
La faille que j’évoque aujourd’hui permet d’injecter dans le serveur DNS une fausse réponse qui est ensuite mémorisée et transmise à tous les « clients » (ordinateurs, autres serveurs DNS) posant la même question. Cela signifie qu’un cyber-criminel peut faire passer son serveur pour le site google.fr, et rediriger le trafic vers les sites de son choix. Il peut aussi se faire passer pour yahoo.fr et diffuser de fausses nouvelles, pour influencer les cours de bourse par exemple. Il peut aussi recevoir des emails ne lui étant pas destinés. Enfin, il peut se faire passer pour le site d’une banque.
A noter que, contrairement aux cas de phishing, l’internaute ne se rend pas compte facilement qu’il y a eu usurpation d’identité. Car : l’adresse dans le navigateur sera correcte, les certificats de sécurité valides, et le cyber-criminel pourra relayer les demandes de l’internaute vers les vrais sites (à la manière d’un proxi). Le cyber-criminel pourra ainsi maintenir l’illusion. En résumé, les conséquences n’auront pour seule limite que la créativité des malfaiteurs.
Pour en savoir plus sur le sujet :
- http://www.doxpara.com, le blog du découvreur de cette faille.
- http://www.kb.cert.org/vuls/id/800113, la note de vulnérabilité par le département de la sécurité intérieure américaine.
- http://news.bbc.co.uk/2/hi/technology/7496735.stm, un article de BBC news sur le sujet.
Document rédigé suite à un travail d’investigation, et publié sous license creative common by-nc-nd ; ce qui signifie que vous pouvez transmettre et reproduire librement ce document, dans la mesure où il n’est pas altéré et contient les mentions de l’auteur.
Werner KLINGER Consultant Indépendant en NTIC
A propos de Werner KLINGER Ingénieur Télécom de formation, Werner KLINGER a travaillé 10 ans pour l’un des principaux constructeurs informatiques et fournisseurs de solutions Telecom. Avec son premier site Internet publié en 1995, il dispose d’un recul majeur sur le développement d’Internet, et l’évolution de pratiques telles que le référencement.
A propos de NeoDiffusion NeoDiffusion est une société lyonnaise de conseils en stratégie Internet et NTIC* pour les Petites et Moyennes Entreprises. NeoDiffusion vous aide à réduire vos charges et à gagner du temps, en vous proposant à la fois une expertise indépendante et un accompagnement personnalisé. NeoDiffusion réalise des diagnostics de votre situation, de vos capacités et de vos objectifs afin de vous proposer des solutions qui correspondent précisément à vos besoins. NeoDiffusion fait également intervenir les spécialistes les « mieux adaptés » à votre cas, en négociant pour vous les « meilleurs prix ».