Faille DNS : Mauro Israël "On a frôlé le Big One"

Publié le 10 juillet 2008 par Fredericbouffier
L’expert en sécurité, professeur en Télécommunications et en Intelligence Economique alerte le monde de l’informatique. Le DNS est le talon d’Achille de l’Internet… Interview exclusive
Publicité

Peut-on connaître aujourd’hui le niveau de gravité réelle de cette faille sur les DNS (Domain Name System), annoncée ce mercredi ?

Il est clair que le problème du phishing est l’élément central de ce type d’attaque. D’ordinaire la parade simple est de réussir à savoir qu’il s’agit bien d’hameçonnage, et chacun arrive à s’en rendre compte plus ou moins rapidement. Mais il faut bien savoir qu’avec cette faille on touche au véritable "Graal" du hacker. Imaginons que le détournement se fasse alors sans intervention humaine, que l’erreur s’instille directement dans la machine, que fait-on ? (silence). En utilisant cette faille, c’est un peu comme si personne n’avait les moyens de se rendre compte qu’un site est devenu malveillant.
Pour mieux combattre la faille, il faut avoir les moyens de la connaître. Quels est, à l’heure actuelle, l’état des connaissances techniques sur cette faille ?
Chaque poste possède ce qui s’appelle un fichier hosts qui existe sous forme de fichier texte. Si l’on est capable de modifier ce fichier, on prend alors le pas sur le Domain Name System. Ce type de problème est pour l’instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n’ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.
A ce sujet, pensez-vous que les grands acteurs du monde de l’informatique et de la sécurité se sont réunis autour d’une table pour parler gouvernance ?
Honnêtement j’aurais aimé y croire. Mais il faut bien dire qu’il n’y a pas eu de Table Ronde de la sécurité. Pour preuve, il suffit d'observer le moment où ont été effectués les correctifs des entreprises. Les mises à jour s’étalent du 21 avril (Alcatel) au 8 juillet (Microsoft). Entre temps, D-Link a patché le 5 mai puis le 6 juin et enfin le 3 juillet c'était au tour de Dragonfly… Il n’y a donc pas eu d’alliances à proprement parler puisque qu’il n’y a pas eu de synchronisation. On peut néanmoins affirmer que des échanges technologiques entre concurrents se sont produits.
Entrons dans le vif du sujet. Comment a pu être exploitée cette faille ? Et surtout a t’on des preuves qu'elle a déjà été utilisée par des pirates ?
Il faut d’abord lever le voile. Cette faille est connue depuis 1974, date à laquelle j’attribue l’invention d’Internet. La faille permet de s’insérer dans un dialogue et d’en modifier la réponse. L’attaque est structurelle car un serveur DNS est obligatoire si vous voulez vous connecter au Net. Fatalement tout le monde est touché.
A la loupe, on se rend compte qu’il s’agit de failles liées à l’OS. Le moment critique se situe au moment de la séquence de questionnement. Je m’explique : si vous lancez une requête DNS à partir, par exemple, du port 53 UDP, la réponse que vous allez obtenir n’est pas du tout due au hasard. Il faut savoir que ce que l’on appelle le dialogue du port est prévisible et peut être calculé. Ce qui nous fait comprendre qu’à partir de là, hé bien, tout est possible…

Si tout le monde est touché, quelle posture faut-il adopter ? Existe-t-il-des solutions à part le système de patchs ?

Il faut bien comprendre une chose. Microsoft a été touché ainsi que tous les Unix. Grâce à Windows Update, on peut sécuriser son système. Mais que fait-on pour Linux, combien de temps va durer cette faille ? Il faut bien savoir qu’il y a quelques mois, on a frôlé le " Big One", le jour où tous les comptes ont été remis à zéro. Il faut continuer la sensibilisation des entreprises et encourager les patchs. Pas seulement sous Windows mais pour Unix, Linux, et toutes les appliances de type routeurs, firewalls, serveurs de mails…
Face à cette faille, le sentiment général est, quelque part, de se sentir tous concernés. Quelle réflexion vous évoque la révélation de cette faille aux yeux du monde ?
Le système d’alertes, en tout cas pour la France, est loin d’être efficace. C’est un désastre pour les PME qui n’ont aucun moyen de préparer des contre-mesures, quant aux grands groupes ils sont obligés de prendre des risques énormes car il faut avouer que dans de nombreux cas, leur politique est… de ne rien faire. Le DNS est une chose trop " instable " pour qu’on la laisse sans protection. Il faudrait une sorte de SecureDNS qui permettrait un cryptage des données. Sans quoi le risque sera toujours bien présent.
Lu sur SILICON.FR