Faille DNS : Mauro Israël "On a frôlé le Big One"
Peut-on connaître aujourd'hui le niveau de gravité réelle de cette faille sur les DNS (Domain Name System), annoncée ce mercredi ?
Il est clair que le problème duphishingest l'élément centra l de ce type d'attaque. D'ordinaire la parade simple est de réussir à savoir qu'il s'agit bien d'hameçonnage, et chacun arrive à s'en rendre compte plus ou moins rapidement. Mais il faut bien savoir qu'avec cette faille on touche au véritable « Graal » du hacker. Imaginons que le détournement se fasse alors sans intervention humaine, que l'erreur s'instille directement dans la machine, que fait-on ? (silence). En utilisant cette faille, c'est un peu comme si personne n'avait les moyens de se rendre compte qu'un site est devenu malveillant.
Pour mieux combattre la faille, il faut avoir les moyens de la connaître. Quels est, à l'heure actuelle, l'état des connaissances techniques sur cette faille ?
Chaque poste possède ce qui s'appelle un fichier hostsqui existe sous forme de fichier texte. Si l'on est capable de modifier ce fichier, on prend alors le pas sur le Domain Name System. Ce type de problème est pour l'instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n'ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.
A ce sujet, pensez-vous que les grands acteurs du monde de l'informatique et de la sécurité se sont réunis autour d'une table pour parler gouvernance ?
Honnêtement j'aurais aimé y croire. Mais il faut bien dire qu'il n'y a pas eu de Table Ronde de la sécurité. Pour preuve, il suffit d'observer le moment où ont été effectués les correctifs des entreprises. Les mises à jour s'étalent du 21 avril (Alcatel) au 8 juillet (Microsoft). Entre temps, D-Link a patché le 5 mai puis le 6 juin et enfin le 3 juillet c'était au tour de Dragonfly. Il n'y a donc pas eu d'alliances à proprement parler puisque qu'il n'y a pas eu de synchronisation. On peut néanmoins affirmer que des échanges technologiques entre concurrents se sont produits.
Entrons dans le vif du sujet. Comment a pu être exploitée cette faille ? Et surtout a t'on des preuves qu'elle a déjà été utilisée par des pirates ?
Il faut d'abord lever le voile. Cette faille est connue depuis 1974, date à laquelle j'attribue l'invention d'Internet. La faille permet de s'insérer dans un dialogue et d'en modifier la réponse. L'attaque est structurelle car un serveur DNS est obligatoire si vous voulez vous connecter au Net. Fatalement tout le monde est touché.
A la loupe, on se rend compte qu'il s'agit de failles liées à l'OS. Le moment critique se situe au moment de la séquence de questionnement. Je m'explique : si vous lancez une requête DNS à partir, par exemple, du port 53 UDP, la réponse que vous allez obtenir n'est pas du tout due au hasard. Il faut savoir que ce que l'on appelle le dialogue du port est prévisible et peut être calculé. Ce qui nous fait comprendre qu'à partir de là, hé bien, tout est possible.
Si tout le monde est touché, quelle posture faut-il adopter ? Existe-t-il-des solutions à part le système de patchs ?
Il faut bien comprendre une chose. Microsoft a été touché ainsi que tous les Unix. Grâce à Windows Update, on peut sécuriser son système. Mais que fait-on pour Linux, combien de temps va durer cette faille ? Il faut bien savoir qu'il y a quelques mois, on a frôlé le » Big One », le jour où tous les comptes ont été remis à zéro. Il faut continuer la sensibilisation des entreprises et encourager les patchs. Pas seulement sous Windows mais pour Unix, Linux, et toutes les appliances de type routeurs, firewalls, serveurs de mails.
Face à cette faille, le sentiment général est, quelque part, de se sentir tous concernés. Quelle réflexion vous évoque la révélation de cette faille aux yeux du monde ?
Le système d'alertes, en tout cas pour la France, est loin d'être efficace. C'est un désastre pour les PME qui n'ont aucun moyen de préparer des contre-mesures, quant aux grands groupes ils sont obligés de prendre des risques énormes car il faut avouer que dans de nombreux cas, leur politique est. de ne rien faire. Le DNS est une chose trop » instable » pour qu'on la laisse sans protection. Il faudrait une sorte de SecureDNS qui permettrait un cryptage des données. Sans quoi le risque sera toujours bien présent.
Mise à jour et rectificatifs
Cet entretien a provoqué un torrent de commentaires (voir ci-dessous), notamment de la communauté Linux qui a très mal apprécié (c'est un euphémisme) les propos de Mr Israël.
Nous en convenons : certains propos ont été mal compris par notre journaliste, d'autres ont manqué de précisions, notamment sur la définition des fichiers host et des mises à jour automatique (étaient évoquées les appliances et les routeurs et pas les PC des particuliers qui évidemment sont mis à jour simplement sous Windows ET sous Linux).
Nous avons repris contact avec Mr Israël qui nous livre les précisions suivantes.
La rédaction
_____________________________
« Ce fichier (host) retrace toutes les adresses IP consultées, quelqu'un qui s'y introduirait aurait alors accès à une multitude de données »
Plutôt : « Ce fichier fait le lien entre une adresse IP et un nom de serveur, par exemple « 145.23.55.12 www.bnp.fr » quelqu'un qui s'y introduirait avec une fausse adresse détournerait alors le trafic du vrai site bancaire sur son faux site, sans que l'utilisateur s'en rende compte ou puisse l'empêcher. »
« Ce type de problème est pour l'instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n'ont, à mon sens, aucune maîtrise réelle sur ce type de dangers. »
Ce type de problème est -pour l'instant- maîtrisé, par le fait que l'utilisateur ne doit plus être administrateur de son poste en entreprise, mais les administrateurs des systèmes UNIX ou Windows ont la fâcheuse habitude de se connecter en root ou admin, et le danger reste toujours possible d'un exploit qui permettrait de modifier fichier «hosts » par élévation de privilèges. Dans des versions « grand public » comme Ubuntu ou Windows, les utilisateurs et les PME/TPE n'ont aucune compétence réelle sur ce type de dangers, et dépendent complètement de la sécurité de leur fournisseur Internet, ou de leur routeur d'accès ou du serveur interne de l'entreprise qui contiennent un système DNS de relais.
« Cette faille est connue depuis 1974, date à laquelle j'attribue l'invention d'Internet. »
« Cette faille est d'autant plus grave qu'elle est structurelle, et remonte à la structure même du protocole au moment de l'invention d'Internet, à savoir le Domain Name relié à une adresse IP, clé de toute consultation d'un site sur Internet comme un site web. »
« A la loupe, on se rend compte qu'il s'agit de failles liées à l'OS. Le moment critique se situe au moment de la séquence de questionnement. Je m'explique : si vous lancez une requête DNS à partir, par exemple, du port 53 UDP, la réponse que vous allez obtenir n'est pas du tout due au hasard. Il faut savoir que ce que l'on appelle le dialogue du port est prévisible et peut être calculé. Ce qui nous fait comprendre qu'àpartir de là, hé bien, tout est possible. »
Plutôt : « A la loupe, on se rend compte qu'il s'agit d'un type de faille structurelle. Le moment critique se situe au moment de la séquence de dialogue entre le client et le serveur DNS. Je m'explique : si votre navigateur lance une requête DNS du port 53 UDP, la réponse que vous allez obtenir n'est pas suffisamment due au hasard. Il faut savoir que ce que -contrairement aux recommandations qui ont été faites sous forme de RFC pour rendre imprévisible le numéro de port de la séquence de réponse, beaucoup de programmeurs, par facilité ou par « copier-coller » d'autres programmes ont crée des systèmes où le port n'est pas si aléatoire que ça et peut dans certains cas être calculé, voilà le coeur de la faille actuelle. Ce qui nous fait comprendre qu'à partir de là, hé bien, tout est possible. Comme par exemple de détourner tout le trafic de tous les internautes de leur vraie banque à un faux site, et ainsi de vider la plupart des comptes en banque de la planète, provoquant une gigantesque crise économique, le fameux « big one »
Mais que fait-on pour Linux, combien de temps va durer cette faille ? Il faut bien savoir qu'il y a quelques mois,on a frôlé le » Big One », le jour où tous les comptes ont été remis à zéro. Il faut continuer la sensibilisation des entreprises et encourager les patchs. Pas seulement sous Windows mais pour Unix, Linux, et toutes les appliances de type routeurs, firewalls, serveurs de mails.
Plutôt : « Alors qu'un système automatique de patches existe pour Windows et pour Linux, combien de temps va durer la vulnérabilité dans les entreprises où l'on trouve de nombreux systèmes non patchés depuis leur mise en oeuvre ? Il faut bien savoir qu'il y a quelques mois, on a déjà frôlé le » Big One », par déni de service distribué, alors que 5 des 13 principaux serveurs DNS de la planète ont été bloqués par une inondation massive de paquets, ou bien lors de la découverte d'une faille dans le protocole SSL. Il faut donc continuer la sensibilisation des entreprises et encourager les patches. Pas seulement sous Windows mais pour Unix, Linux, et toutes les « appliances » de type routeurs, firewalls, serveurs de mails. C'est à ce prix que la sécurité réelle sera rétablie, car cette fois ce n'est pas uniquement Windows qui est classiquement visé, mais le fondement même d'Internet à travers le protocole DNS, donc toute machine et appareil connecté à Internet quel que soit son système.
« quant aux grands groupes ils sont obligés de prendre des risques énormes car il faut avouer que dans de nombreux cas, leur politique est. de ne rien faire. Le DNS est une chose trop » instable » pour qu'on la laisse sans protection. Il faudrait une sorte deSecureDNS qui permettrait un cryptage des données »
Plutôt : « quant aux grands groupes ils prennent actuellement des risques énormes car il faut avouer que dans de nombreux cas, leur politique actuelle concernant les patches autres que Windows est. de ne rien faire. Le DNS est une chose trop au centre d'Internet pour qu'on le laisse sans protection, ou avec des patches manuels, ce qui nous ferait régresser d'une bonne dizaine d'années par rapport aux patches automatisés. Il faudrait donc une sorte de SecureDNS qui permettrait un cryptage des données échangées et un véritable séquencement aléatoire du dialogue. Ce système DNSSEC a été publié pour le principal système de DNS le « BIND » de l'ISC, mais est loin d'être répandu car il entraine des conséquences de performances et de fonctionnement notables. Enfin, au moment où la France va se doter d'une agence de sécurité des systèmes d'information, il faudrait créer une équipe dédiée dans cette agence qui pourrait donner l'alerte, et le status « vert-jaune-rouge » pour les entreprises et les particuliers vis-à-vis du risque internet, comme dans d'autres pays comparables, mais cette fois en Français, car toute l'information dont j'ai fait état provient de sites Américains.
Sur le même thème
Voir tous les articles Cybersécurité