Dan Kaminsky, chercheur en sécurité informatique travaillant pour IOActive, découvre une faille dans le protocol DNS (Domain Name System) il y a près de six mois. C’est en fait le cache de ce dernier qui pose problème. Techniquement, le cache correspond à une copie de la correspondance adresse IP/nom de domaine qui est conservée un certain temps par les serveurs DNS afin d’éviter de les solliciter constamment et optimiser le trafic. Seulement voilà, via une attaque par DNS cache poisoning, il est possible de modifier ses données en mémoire.
Un petit exemple pratique pour clarifier les choses. Vous souhaitez aller sur le site de votre banque ou n’importe quel site que l’on pourrait qualifier de sensible. Vous ouvrez votre navigateur web (Firefox, Firefox !) et précisez l’adresse dans la barre prévue à cet effet. C’est à ce moment là que votre navigateur va interroger les serveurs DNS afin d’obtenir l’adresse IP. A ce moment, deux possibilités :
- le serveur DNS n’a pas encore traité cette correspondance ou l’enregistrement dans le cache DNS est périmé. Il n’y a pas de risque dans ce cas-là.
- le serveur DNS contient l’enregistrement demandé et il est toujours valide. C’est ici qu’intervient la faille. Si le contenu de ce cache a été modifié, on peut être redirigé vers n’importe quel site. Le risque est donc avant tout de divulguer des informations (mots de passe, numéro de carte de crédits, etc.) à des sites copiés qu’on prend pour sites officiels. Il s’agit de phishing (d’où le nom de filtre anti-hameçonnage sous Internet Explorer 7).
Dan a donc travaillé dans la plus grande discrétion afin de développer un patch correctif capable de combler cette faille critique. Il a même mis à disposition sur son blog (doxpara.com) un petit outil capable de détecter si ce patch a été appliqué à nos serveurs DNS.
DNS Checker
Recently, a significant threat to DNS, the system that translates names you can remember (such as www.doxpara.com) to numbers the Internet can route (66.240.226.139) was discovered, that would allow malicious people to impersonate almost any website on the Internet. Software companies across the industry have quietly collaborated to simultaneously release fixes for all affected name servers. To find out if the DNS server you use is vulnerable, click below.
En cliquant sur Check My DNS, on a pour des DNS sains :
Your name server, at 84.103.237.142, appears to be safe, but make sure the ports listed below aren’t following an obvious pattern. Requests seen for a89595f4ae5e.toorrr.com:
84.103.237.142:63445 TXID=31219
84.103.237.142:41980 TXID=9621
84.103.237.142:4377 TXID=4574
84.103.237.142:26595 TXID=18467
84.103.237.142:1028 TXID=57898
Côté des hébergeurs, le patch a bien été appliqué chez OVH ainsi que les autres je suppose. Le risque encouru est bien trop grand pour se permettre de ne pas prendre cela avec le plus grand sérieux.
Faille de sécurité dans le service DNS (FS#2310)
Suite à l’annonce il y a deux jours de la découverte d’une faille importante de sécurité dans le service DNS. Nous mettons à jour les binaires dns sur l’ensemble du parc mutualisé. Aucune indisponibilité n’est prévue !
Mais tout ceci s’est passé trop parfaitement, il fallait que quelqu’un bourde. C’est là qu’intervient Matasano, spécialiste américain de la sécurité. Ce charmant monsieur a publié lundi des détails techniques sur ladite faille. C’est bien évidemment arrivé par erreur, comme il a pu le dire, et a quasi-immédiatement retiré le billet de son blog. Malheureusement les bots Google étaient passés par là et le cache Google faisait effet. Olivier Dembour, consultant en sécurité informatique chez Hervé Schauer consultants, explique :
L’exploitation de cette faille nécessite un minimum de compétence pour développer un outil. Mais il est à parier qu’un exploit public utilisant l’hypothèse de Matasano sera disponible dans les jours prochains.
Dan Kaminsky devrait finalement faire part des détails de sa découverte ainsi que des techniques d’attaque lors de la prochaine Black Hat Conference qui aura lieu le mois prochain, c’est-à-dire en août 2008.
Source : GNT, 01net et OVH