Le Bar de Gandi

Accueil > Internet > Faille DNS : serveurs mis à jour dès l'annonce

Faille DNS : serveurs mis à jour dès l'annonce

Le 8 juillet 2008 le US-CERT (United States Computer Emergency Readiness Team) a annoncé qu'une nouvelle méthode, qui permet de profiter rapidement de faiblesses intrinsèques au protocole DNS, venait d'être découverte. Cette méthode qui cible les serveurs dits récursifs non mis à jour permet à un "attaquant" de donner l'illusion qu'une réponse provient d'un serveur dit autoritaire.

Gandi, dans son activité de gestion de nom de domaine, ne possède que des serveurs autoritaires et n'était donc pas concerné par cette faille.
Cependant nous sommes aussi hébergeurs et nous mettons à disposition de nos clients hébergement des serveurs récursifs. Ces serveurs ont été mis à jour par notre équipe technique le jour même, seulement quelques heures après l'annonce.

Très bien, mais que sont des serveurs de noms récursifs et autoritaires ?

Il existe deux types de serveurs de noms :

  1. Les serveurs dits récursifs auxquels des questions sont posées et qui savent aller demander la réponse à d'autres serveurs
  2. Les serveurs dits autoritaires qui ont l'information qui leur est demandée, notamment par les serveurs récursifs

Les serveurs récursifs sont ceux mis à disposition par les fournisseurs d'accès, ou les hébergeurs, à leurs clients.
Pour schématiser : quand un internaute entre l'adresse d'un domaine géré entièrement par Gandi dans son navigateur, une question DNS part de son ordinateur au serveur récursif de son fournisseur d'accès qui va, à son tour, interroger les serveurs autoritaires de Gandi pour obtenir l'adresse machine de ce domaine.
Le serveur autoritaire de Gandi répond poliment au serveur récursif qui enregistre temporairement cette réponse dans un cache, et finalement cette réponse est transmise au navigateur. Le cache est temporaire et est une astuce technique pour accélérer les réponses : cela permet à un serveur récursif d'éviter de poser trop de fois la même question. Ainsi il y a moins d'échanges entre les serveurs récursifs et autoritaires et l'internet se porte mieux.

Et donc ?

Cette nouvelle méthode permet à une personne mal intentionnée de faire croire à un serveur récursif vulnérable qu'une réponse provient d'un serveur autoritaire. Et le serveur récursif, persuadé que cette réponse est bonne l'enregistre dans son cache. Cela vous paraît abstrait ?
Imaginez simplement que vous avez la possibilité de faire croire, par exemple à tous les abonnés d'un fournisseur d'accès, que vous êtes gandi.net, gmail.com ou encore amazon.com et ceci pendant plusieurs heures. Vous avez l'idée.

Ce qu'il faut en retenir, pour les plus techniques

Tout d'abord, la faiblesse du protocole DNS n'est pas nouvelle, elle est identifiée depuis longtemps et est inhérente à sa spécification. La technique qui permet d'en profiter a été rendue publique le 21 juillet et permet "juste" de passer outre des barrières qui ont été placées au fil du temps pour compenser cette faiblesse.

Encore une fois c'est une nouvelle barrière qui a été ajoutée. Celle-ci était pourtant recommandée depuis quelques années et consiste en l'utilisation d'un port source aléatoire.

Ce qu'il est important de retenir c'est que cette barrière ne corrige pas cette vulnérabilité, elle permet toutefois de remplacer les quelques secondes nécessaires pour mener à bien cette attaque par des durées un peu plus décourageantes. Pour finir, DNS n'est pas un protocole qui permet d'assurer l'identification d'une machine. Le protocole DNSSEC qui vise à le supplanter a notamment pour vocation de combler à ce manque. Cependant, pour de nombreuses raisons, il n'est pas encore mis en oeuvre.

Dans tous les cas la solution passe donc par l'utilisation systématique de connexions sécurisées telles que SSL (certificats et chiffrement...) lorsque l'on souhaite s'assurer de l'identité d'un site.
Mais, tout ceci mis en place, encore faudra-t-il lire avec attention les messages d'avertissements SSL des navigateurs et autres applications ;)