Faille DNS : un cas historique

Date : 31 Juillet 2008

Cet article vise à expliquer en quoi cette faille constitue un cas "hors-norme", notamment en matière de "divulgation responsable".

1/ Pourquoi cette faille est-elle grave ?

Plusieurs facteurs font que cette menace revêt une importance particulière.

1.1 De lourdes conséquences

Tout d’abord, les impacts et conséquences de cette faille sont graves puisque cette dernière permet à un attaquant de détourner tout le trafic des utilisateurs d’un serveur DNS vulnérable vers des sites malveillants (corruption de cache DNS).

1.2 Une ampleur mondiale

Ensuite, elle impacte l’immense majorité des serveurs et clients DNS connectés à Internet, ce qui rend l’application des correctifs difficile (du fait du nombre d'équipements qui doivent être mis à jour).

1.3 Une faille qui suscite bien des intérêts

Enfin, cette faille intéresse les cybercriminels parce qu’elle permet de rediriger des internautes vers de faux sites web. De multiples scenarii d’attaque sont possibles, et en particulier celui du phishing.

 

2/ Une gestion inhabituelle

Les détails techniques de cette vulnérabilité, découverte en février 2008, ont été maintenus secrets de longs mois. Un groupe de personnes, constitué du découvreur, de membres de l’US-CERT et des différents éditeurs de services DNS, ont travaillé ensemble  afin de décider de la meilleure façon de gérer et corriger cette faille, puis de la rendre publique.

La date du 8 juillet 2008 a ainsi été retenue pour la publication concertée des correctifs, tout en souhaitant garder secrets les détails techniques. C’est justement ce point, le "secret", qui a suscité la curiosité des chercheurs en sécurité, qui se sont empressés d’investiguer et analyser le problème. Dans le même temps, Dan Kaminsky (découvreur de la faille) était mis en doute sur la crédibilité de sa découverte. Ayant voulu insister sur la gravité de la vulnérabilité au cours de ses échanges, il a probablement diffusé involontairement des informations techniques précieuses. Le 22 juillet, les détails techniques de la faille étaient finalement connus.

Dès lors, tout est allé très vite. Des programmes d’exploitation ont été publiés le 24 juillet et les premières attaques ont été signalées le 29 juillet.


3/ Etat de déploiement des correctifs

A présent, la difficulté réside dans l’application universelle des correctifs ; la menace demeurera en effet présente tant qu’un seul serveur DNS restera vulnérable. Le 8 juillet, environ 85% des serveurs étaient vulnérables (source : "DoxPara Research"). Le 25 juillet, soit 13 jours après, ce chiffre serait de 52% selon DoxPara, et 66% selon le CERT autrichien (http://www.cert.at/static/cert.at-0802-DNS-patchanalysis.pdf). Cette progression est significative, mais elle montre aussi qu'il reste encore de nombreux serveurs DNS vulnérables (plus de la moitié au moins).
 

Conclusions

A ce jour, toutes les détails techniques n’ont pas été dévoilés et nous n’avons pas le recul nécessaire pour dresser un bilan complet sur cette faille. Une chose est certaine c’est que tout ne s’est pas passé comme "prévu" (http://www.doxpara.com/?p=1162). Reste à analyser les erreurs commises et à s’interroger sur les nombreux problèmes soulevés par la découverte puis la publication responsable pour ce type de vulnérabilité. L’un des problèmes majeurs étant la difficulté d’appliquer des correctifs sur une aussi grande échelle (problème déjà connu mais accentué dans le cadre du DNS).

Nous attendons à présent le 7 août prochain, où Dan Kaminsky dévoilera les arcanes de la vulnérabilité, lors de la conférence BlackHat (http://www.blackhat.com).

Nous vous rappelons aussi qu'il est indispensable que les correctifs de sécurité disponibles pour cette faille soient appliqués au plus tôt sur l'ensemble des équipements vulnérables.

 

Pour plus d’information
Précedent Précedent Suivant Suivant Imprimer Imprimer

© 2024 Cert-IST