DNS, retour sur une vulnérabilité hors-norme

Hors-norme, elle l'est réellement, cette vulnérabilité. D'abord par sa portée : la quasi-totalité des serveurs DNS du marché sont concernés dès lors qu’ils émettent une requête dite “récursive” (ils interrogent un autre serveur DNS car ils ne connaissent pas directement la réponse à la question qui leur a été posée). Une mention spéciale toutefois à djbdns, qui n’est pas vulnérable.

Ensuite par ce qu’elle offre à l’attaquant en cas d’exploitation réussie : le phishing ultime, tout simplement. L’assurance de voir des myriades d’utilisateurs se précipiter en toute bonne foi vers des sites malveillants. Et surtout sans aucun moyen de s’en rendre compte. Seuls les sites dotés d’un certificat SSL et contactés via HTTPS peuvent prétendre y échapper. Mais encore faudrait-il que leurs utilisateurs comprennent ce que signifie l’alerte d’un certificat non conforme...

Aussi parce que, d’après Dan Kaminsky, la nouveauté réside dans la méthode : elle offrirait un moyen rapide et quasi-assuré de réussir ce type d’attaque, ce qui était encore loin d’être le cas jusqu’à présent.

Enfin par la façon dont elle a été traitée. L’ampleur réelle de ce “G8 secret” de la sécurité chez Microsoft en mars dernier fait certes encore débat, mais ce qui est certain c’est qu’il y a bien eu une diffusion concertée de correctifs multi-vendeurs pour adresser la même vulnérabilité. Ce n’est pas courant.

On peut espérer que tout ce brouhaha médiatique, au delà du plaisir mesquin de voir la presse généraliste essayer d’expliquer le concept du cache poisonning à des lecteurs surtout déprimés par la météo des plages, ce brouhaha donc, remettra le DNS au centre des débats sécuritaires. C’est que le DNS, on prend ça pour acquis. Combien de DSI me parlent des merveilleux boîtiers anti-DDoS qu’ils ont mis en place à grand frais devant leurs serveurs métier et me regardent étrangement lorsque je leur demande qui s’occupe de leur DNS.

On peut espérer, donc... Il y a huit ans déjà je m'enflammais pour DNSSEC, qui devait - enfin - fiabiliser le vénérable protocole. Huit ans plus tard, je continue pourtant à disserter sur l’insécurité de cette clé de voûte essentielle à l’Internet et aux réseaux.

Pour l’heure, donc, seuls les correctifs constituent une parade valable à cette attaque. Attention cependant : les serveurs DNS particulièrement chargés (au delà de 10.000 requêtes par seconde selon le l’ISC) pourraient souffrir de l’application des correctifs (c’est que le source port randomization, c’est gourmand). Et il semblerait que certains pare-feu personnels aient des soucis à gérer les serveurs DNS patchés (au moins ZoneAlarm face au correctif Windows).

Pour le reste, il y a encore un petit mois pour appliquer les correctifs. Après quoi Dan Kaminsky aura révélé les détails de son attaque et, probablement, tous les serveurs DNS récursifs de la planète seront testés...

Mots clés : Dan Kaminsky, DNS, Black Hat, DNSSEC, faille