Laurent
Charveriat (Cyber Networks) : "Si le DNS a la capacité
de donner une information différente de la réalité, n'importe
qui peut s'y engouffrer"
Eclairage d'un expert des noms de domaines sur la tentative avortée de Verisign de récuperer les requêtes DNS erronées. (Mercredi 8 octobre 2003)
Chronologie
15 septembre : lancement
de SiteFinder
21 septembre :
l'ICANN demande à Verisign de retirer
son site de son plein gré
3 octobre :
Verisign suspend
sa redirection
Alors que VeriSign vient, sous la pression de l'ICANN,
de suspendre son service de redirection des noms de domaines erronés
en .com et .net, Laurent Charveriat précise les réels
dangers de ce dispositif avorté, mais aussi les fausses peurs
qui ont entouré son lancement. Avec un nécessaire
rappel préalable du mode de fonctionnement du système
DNS.
JDNet Solutions : En quoi la
redirection de VeriSign pose-t-elle problème
? Laurent Charveriat.:
Il faut revenir à l'élément de base
qu'est le DNS pour bien comprendre la problématique.
Je rappelle que le DNS permet d'obtenir deux adresses
différentes : soit un site Web, soit le serveur
de messagerie d'un domaine. Concentrons-nous sur le Web
: une fois que j'ai tapé une adresse URL dans mon
navigateur, il faut que j'obtienne le nom du serveur Web
correspondant. Le DNS réalise cette correspondance
entre le nom de domaine et son adresse, comme un annuaire
donnerait les coordonnées de quelqu'un dans une
ville à partir de son nom de famille.
La structure DNS est hiérarchique, comme le préfixe
téléphonique "33" permet de diriger
les appels vers la France avant de joindre une personne
en particulier. Pour un nom de domaine en .com, c'est
pareil : avant de savoir qui le gère, je dois d'abord
m'adresser à celui qui gère le .com (ce
qu'on appelle les serveurs root), pour avoir l'adresse
IP de la machine et seulement à ce moment là,
le navigateur peut faire la connexion.
En cas d'erreur, je tombe normalement sur un nom de domaine
qui n'existe pas et je vois une page d'erreur. C'est pris
en compte, c'est géré au niveau du DNS,
pas au niveau de l'applicatif, c'est-à-dire du
navigateur.
Or, et c'est là que nous arrivons à VeriSign,
si je fais répondre un domaine qui n'existe pas,
parce que je suis serveur
root, parce que j'ai la maîtrise en amont,
je permets à l'internaute de se connecter à
Site Finder, je détourne donc l'information initiale
sur la non existence d'un nom de domaine... Verisign,
de son côté, l'a présenté comme
un outil d'assistance à l'internaute égaré
ou étourdi...
La confidentialité des
échanges était donc menacée ?
Si un formulaire sur un site Web est erroné, les
infos peuvent être envoyées à VeriSign
effectivement. Un peu comme si un fax était envoyé
malgré un numéro de téléphone
du destinataire erroné.
Et pour le mail, c'est pareil. Normalement,
quand je cherche le serveur de messagerie qui peut recevoir
un courrier, la requête DNS me donne la liste de
ces serveurs. Une fois que cette liste est identifiée,
il y a essai de connexion auprès de chaque serveur,
un par un, puis une connexion SMTP, et enfin envoi du
mail en question. Si je
me trompe, un message d'erreur m'est renvoyé pour
m'indiquer que je me suis
trompé, et le courrier s'arrête là.
Or, si le DNS répond, le serveur de messagerie commence à
établir une connexion SMTP.
Lors de l'établissement de cette connexion, l'erreur est
néanmoins signalée, c'est en tout cas ce que VeriSign
a déclaré, mais techniquement, ils pouvaient accepter
le mail et le faire atterrir chez eux
Cela signifie par ailleurs une augmentation significative du trafic,
de par ce début d'établissement de connexion avant
que l'erreur ne soit signalée. De même pour le navigateur
dont je parlais précédemment, qui établissait
une connexion sur le port 80. Le trafic supplémentaire qui
sortait du navigateur a pu être source de surcharge de trafic,
en tout cas c'est un des points soulevés par l'ICANN.
Au-delà de ces points
techniques, que vous inspire cette tentative ?
Chronologie
15 septembre : lancement
de SiteFinder
21 septembre :
l'ICANN demande à Verisign de retirer
son site de son plein gré
3 octobre :
Verisign suspend
sa redirection
Le DNS est un point d'entrée crucial, comme je
l'ai précisé. Si ce point d'entrée est perverti,
si le DNS a la capacité de me donner une information différente
de la réalité, n'importe qui peut s'y engouffrer.
Il suffit de voir ce qui se passe avec les techniques de fishing,
qui consistent à modifier légèrement une
URL pour induire en erreur des internautes et les escroquer
avec des transactions détournées.
En clair, si on peut changer
les numéros de téléphone des pages
blanches, si les informations ne sont pas fiables, on
dispose d'une arme économique très forte,
d'autant plus que les domaines en .com, en .org et .net
sont gérés par les Etats-Unis...