|
|
Sécurité |
40%
des sites en ".gouv" sous la menace du Spof |
Si les serveurs de noms de domaine français sont plutôt bien configurés, une majeure partie souffrent cependant d'un défaut d'architecture: le "spof". Ou comment mettre tous ses oeufs dans le même panier... (Jeudi
3 janvier 2002) |
|
Réaction
lecteur ---------------------------------------
Suite à la publication
de cet article, nous avons reçu la contribution
suivante signée Laurent Filhol, responsable hébergement
chez Himalaya:
Vous écrivez: "Ce constat de Spof (pour Single
Point of Failure) signifie que les serveurs DNS, s'ils
sont bien redondants, sont cependant installés sur les
mêmes segments réseaux". Si effectivement ce point paraît
important pour la bonne gestion des DNS (mettre deux DNS
sur deux segments réseaux différents) l'analyse est un
peu simpliste: un seul segment reseau peut etre désservi
par plusieurs opérateurs et donc le lien en lui même
est redondant. Alors l'étude de Men&Mice est globalement
vrai mais légerement fausse...."
-----------------------------------------------------------------
Composant générique des infrastructures
internet, le serveur de noms de domaine (ou DNS pour Domain
Name Server) est parfois négligé, au point
de représenter un point de
vulnérabilité
des architectures. C'est en tous cas ce que confirme l'étude
menée fin 2001 par Men&Mice,
prestataire islandais spécialiste des DNS et partenaire
en France de la société iPerformances.
Men&Mice s'est penché sur la qualité
de la configuration des DNS en Europe pour élaborer
un classement. A première vue, un "Cocorico"
s'impose puisque la France avec "seulement"
31,5% de ses DNS mal configurés fait office de
meilleure élève de la classe européenne.
Le bonnet d'âne revient à la Grèce
dont les trois quarts des DNS mériteraient une
reprise en main. Rappelons que dans le pire des cas une
mauvaise configuration de ces serveurs peut ouvrir la
porte notamment à du "DNS spoofing":
un intrus peut prendre le contrôle du DNS pour intercepter
les mails ou en envoyer en usurpant des identités.
Si à première vue donc la France s'en sort
plutôt bien, le constat est moins glorieux lorsque
l'on s'intéresse plus à l'architecture qu'à
la configuration même de ces DNS. Il
apparaît
en effet qu'un peu plus de 60% des serveurs DNS y souffrent
de "Spof". Ce constat de Spof (pour Single Point
of Failure) signifie que les serveurs DNS, s'ils sont
bien redondants, sont cependant installés sur les
mêmes segments réseaux. Résultat,
si ce segment tombe, c'est toute l'architecture IP qui
suit... Une telle mésaventure avait coûté
à Microsoft une journée d'indisponibilité
de ses serveurs en 2001. En France, les ".gouv"
paraissent particulièrement concernés puisque
40% d'entre eux ont installé leurs serveurs DNS
sur un seul et même segment réseau.
Premier pays européen à être exposé
à ce mal, la France est cependant (maigre consolation)
talonnée de près par le Royaume-Uni et l'Allemagne
où le spof concerne
aussi environ 20% des DNS. "La situation française
est assez constrastée: c'est un peu comme si nous
roulions avec une voiture bien entretenue mais sans roue
de secours", illustre Bruno Rasle, responsable du
développement d'iPerformances. Le remède
? "C'est une question d'information et de connaissance",
résume l'intéressé. Et dans ce domaine
la marge de progression reste importante. En témoigne
le fait que les DNS de cinq très grandes entreprises
françaises présentent toujours une faille
de sécurité que le CERT a identifié
il y a un an...
|
|
|