05 08 2008

Retour sur la faille DNS de Dan Kaminsky

Publié par chrisKey dans SSI

Image du DNS mortLe Domaine Name System (DNS) est un protocole qui permet de ne pas avoir à taper 208.69.34.230 mais bien www.google.fr dans la barre d’adresse de son navigateur. On peut imager cela à un tableau à deux colonnes avec une colonne adresse IP (208.69.34.230) et une adresse nommée (www.google.fr) et lorsque vous tapez dans votre navigateur www.google.fr la première chose qu’il fait est d’aller voir quelle est l’adresse physique (208.69.34.230) de la machine ou il doit aller chercher les pages demandés.

Le problème intervient lorsque le DNS est touché, en effet si vous tapez www.google.fr et que vous ne tombez pas sur 208.69.34.230 c’est comme si votre courrier envoyé à M. Dupond 35 rue de la Praline 37000 Tours arrivait Boulevard Trudaine 75002 Paris par exemple. Cela est une attaque de type pharming, c’est à dire une technique de piratage informatique exploitant des vulnérabilités DNS pour récupérer les données d’une victime. Dan Kaminsky en a trouvé une qui permet d’empoisonner le cache DNS (DNS Cache Poisoning) afin de faire croire que le serveur DNS reçoit une requête valide alors qu’elle est frauduleuse.

Cette découverte remonte au début de l’année et n’a été patché que début juillet (le 7 pour les grands tel que Microsoft, Sun & Cisco). Ce retard pour patcher cette faille n’a pas été très grave jusqu’au 21 juillet ou la faille à finit par être publié sur le net (par erreur !) provoquant une certaine panique sur les FAI qui pouvaient alors se faire attaquer leur propre serveur DNS.

Le problème à lors actuelle est que tout les serveurs DNS ne sont pas patchés, c’est toujours en cours et loin d’être fini. C’est comme cela que fin juillet AT&T c’est fait pirater ses propres serveurs DNS et que de pirates ont réussis à rediriger Google sur une page infectée.

Le DNS est un organe sensible du web. Cette faille n’est pas la première du genre, cela fait plusieurs années que des attaques de type pharming qui visent donc le DNS sont présentes et nous montre bien la fragilité sur certains point du web… A cause de la transparence de ces attaques, personnes n’est réellement à l’abri.

Plus d’infos :

http://www.lesnouvelles.net/articles/attaques/dan-kaminsky-dns-cache-poisoning
http://www.lesnouvelles.net/articles/attaques/att-pirate-dns
http://www.theinquirer.fr/2008/07/23/dangereuse_fuite_sur_la_nature_de_la_vulnerabilite_des_dns.html
http://fr.securityvibes.com/faille-dns-dan-kaminsky-pour-les-nuls-article-937.html

Comments Pas de commentaire »