Tous les efforts de discrétion des géants du Web et des réseaux vont-ils être réduits à néant ? Après la découverte par Dan Kaminsky, d’IO Active, d’un défaut de taille dans la cuirasse du DNS, le système central qui met en relation les adresses des sites et les pages stockées sur des serveurs, Cisco, Sun, Juniper ou encore Microsoft se sont réunis pour mettre au point la parade. Et le 9 juillet, on apprennaît que tous ces géants avaient massivement et en toute discrétion patché le Net mondial afin de colmater la brèche.
Evidemment, afin d’éviter toute exploitation, tous les acteurs en présence se sont bien gardés de donner des détails sur cette vulnérabilité sinon qu’elle est dérivée de la technique de cache poisonning etcombine des vulnérabilités connues du protocole DNS et du phishing.
Mais manque de pot, un spécialiste américain de la sécurité a mis en ligne pendant quelques heures sur son blog des détails techniques d’exploitation de cette faille.
Très vite, Matasano Security, a retiré sa recette miracle de son blog. Mais le mal était fait. L’info a très vite fait le tour de la toile (merci Google). Rappelons que l’exploitation de cette faille permet à des pirates de rediriger n’importe quelle adresse Internet vers d’autres sites de leur choix ou leurs propres systèmes à l’insu de l’utilisateur.
Reste que le réseau a été patché à temps, logiquement le risque de voir cette faille exploitée devrait donc être minime. Certains estiment même que cette révélation de Matasano Security ne devait rien au hasard, l’objectif étant de braquer les projecteurs sur cette petite société.
Pour autant, si le ‘gros’ de la Toile est patché, les correctifs n’ont pas été tous appliqués par tous les utilisateurs finaux (éditeurs de site, hébergeurs…) ou encore les fournisseurs d’accès internet. Donc le risque subsiste encore bel et bien.
Rappelons que Dan Kaminsky devait rendre public les détails de la vulnérabilité qu’il a découverte « par hasard » le 6 août prochain, dans le cadre de Black Hat, grand messe de la sécurité informatique afin de laisser du temps aux administrateurs réseaux d’appliquer les mises à jour. Mais la fuite de Matasano pousse désormais à patcher au plus vite.
: une interview de Mauro Israël, expert en sécurité : ‘On a frôlé le Big One’
Booster les performances des forces de vente en fondant les processus commerciaux sur ce que…
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…