Une faille du système DNS, dont les détails ont été rendus publics début août, promet de faciliter les usurpations d'adresses IP par des personnes malintentionnées. Les patches publiés ne seraient efficaces que jusqu'à un certain point.
Dan Kaminsky, expert en sécurité responsable des tests d'intrusion chez IOActive, avait déjà tiré la sonnette d'alarme il y a neuf mois, sur une faille du système de nom de domaine (Domain Name System). « Je pense que nous allons assister à de nombreuses attaques », affirme-t-il aujourd'hui.
Le système de nom de domaine, ou DNS, permet de traduire les adresses web en adresses IP compréhensibles par les routeurs et constitue un véritable annuaire d'internet. En exploitant la faille mise à jour par Dan Kaminsky, il est possible, par exemple, de rediriger un internaute ayant entré une adresse web légitime vers un site malveillant.
Selon la firme de sécurité MessageLab, le trafic DNS suspect a crû de 52 % entre juillet et août, ce qui laisse à penser que « dans les bas-fonds d'internet, on s'apprête à lancer des attaques ciblées dans les prochaines semaines ».
Une part de ces données sur le trafic DNS suspect englobe certes les pointages statistiques qu'effectuent elles-mêmes les firmes de sécurité, mais elles ne couvrent pas, cependant, tout le trafic généré pour router les messages électroniques et la navigation web au sein des grandes entreprises.
« Le plus important pour les gens est de "patcher" les serveurs de nom qui appuient leurs serveurs de messagerie électronique », indique Dan Kaminsky. Sur son site persionnel Doxpara.com, il propose une procédure de test permettant de vérifier l'intégrité de ses serveurs de DNS.
Toutes les grandes entreprises n'ont pas patché leurs serveurs
Alors que l'information était rendue publique le 8 juillet dernier, sans qu'aucun détail sur la faille du système DNS ne soit révélé, de nombreux fournisseurs, dont Microsoft et Cisco, ont publié simultanément des patches pour résoudre le problème. « La bonne nouvelle, c'est que des centaines de millions d'utilisateurs sont protégés contre ce type d'attaque, se réjouit aujourd'hui Kaminsky. La mauvaise, c'est que ce n'est pas le cas de tout le monde. »
Au début du mois d'août, l'expert en sécurité a dévoilé les détails de la faille lors de la conférence Black Hat sur la sécurité à Las Vegas et indiqué que 70 % des entreprises du classement Fortune 500 avaient testé et patché avec succès leurs serveurs de messagerie. Elles sont 61 % à avoir patché d'autres types de serveurs, a-t-il précisé.
Les correctifs mis en oeuvre qui reposent sur une « aléatoirisation » des numéros de ports, peuvent cependant être mis en échec et ne sont efficaces que jusqu'à un certain point, explique à ZDNet UK un expert en sécurité de l'Université de Cambridge.
Selon lui, la vraie solution au problème serait que le serveur puisse détecter lorsqu'il fait l'objet d'un grand nombre de requêtes suspectes, et ne communique que via le protocole TCP, qui ne peut être sujet à des attaques de spoofing (usurpation d'adresse). Une autre méthode pour faire échec aux attaques serait, pour les opérateurs, de recourir au système DNSSEC, qui est un système de DNS crypté.
RSS feed Comments
