Faille DNS : un emballement et un risque à relativiser

L'annonce conjointe des acteurs d'Internet sur une faille des serveurs DNS a suscité l'inquiétude. Les détails techniques de la vulnérabilité ne seront connus qu'en août. L'analyse des patchs semble cependant relativiser les risques.

Depuis la fin des propagations massives de virus comme MyDoom, les grands médias généralistes n'ont que rarement relayé l'actualité de la sécurité informatique, hormis peut-être à l'occasion de l'attaque de 2007 contre les serveurs racines d'Internet. La communication groupée des grands acteurs de l'informatique, comme Cisco ou Microsoft, encourageant les utilisateurs à l'application d'un correctif de sécurité a suscité une vive agitation (lire la brève Une faille d'envergure corrigée sur des serveurs DNS du 10/07/2008).

L'enjeu : corriger une faille affectant les serveurs de routage DNS (Domain Name System). Quant aux risques de l'exploitation d'une telle vulnérabilité, il s'agirait pour un individu malveillant de corrompre le cache des serveurs DNS dans le but de rediriger les internautes, de façon transparente, vers d'autres sites. Les attaques les plus évidentes sont donc de type phishing, mais l'installation de virus et les actions Man in The Middle seraient également envisageables.

L'origine de l'affaire remonte cependant déjà à plusieurs mois. En mars dernier, Dan Kaminsky, directeur des tests d'intrusion chez IOActive, à l'origine de la découverte de cette vulnérabilité DNS, rencontre les principaux éditeurs de solutions de DNS afin que ces derniers publient des correctifs. Des bulletins sont ainsi distribués entre avril et juillet. Malgré l'émoi médiatique, le patch destiné à corriger l'implémentation DNS de Microsoft par exemple n'est pas qualifié de critique.

Quant à la nature exacte de la faille identifiée par Dan Kaminsky, elle reste à être précisée. Ce que le chercheur s'est engagé à faire en août à l'occasion de la grand-messe de la sécurité, la Black Hat. Néanmoins, l'analyse des correctifs publiés par les éditeurs fournit déjà quelques indications sur la vulnérabilité, comme nous l'apprend Eric Gruson. Le consultant en sécurité de Solucom préfère d'ailleurs parler de faiblesses, au nombre de deux.

"Les serveurs DNS des entreprises sont normalement très peu exposés" (E. Gruson - Solucom)

"D'une part, une taille assez faible des aléas de la référence DNS, référence qui permet d'identifier de manière unique une requête DNS. Grâce au paradoxe des anniversaires, une attaque est ainsi envisageable. En générant suffisamment de requêtes sur un serveur DNS, il est beaucoup plus facile de trouver une réponse ayant la même référence qu'une requête."

Le paradoxe des anniversaires, utilisé notamment en cryptographie et en probabilité, peut être formulé de la manière suivante : sur une classe de 23 élèves, il existe une probabilité de 50% de trouver deux personnes ayant la même date d'anniversaire et pour 57 élèves, la probabilité est de 99%. Par analogie, le paradoxe peut donc être appliqué au protocole DNS.

Solucom relève toutefois l'existence d'une deuxième faiblesse : "une mauvaise génération aléatoire chez certains éditeurs de cette référence DNS. Cette faiblesse permet de prédire avec une probabilité assez importante la liste des références générées par le serveur. De nombreux produits sont concernés comme ceux de Windows, Cisco, BIND, Apple, ainsi que d'autres éditeurs sensibles à cette problématique d'implémentation".

Sur la base de cette analyse de code, la faille découverte par Dan Kaminsky pourrait donc sembler n'être qu'une resucée d'un problème existant. Les déclarations du chercheur d'IOActive ont donc parfois suscité le scepticisme au sein de la communauté des experts en sécurité. Thomas Ptacek, de Matasano, après un complément d'information apporté par Kaminsky a pourtant retiré ses critiques. Le voile ne sera véritablement levé qu'en août.

Il reste néanmoins un certain emballement médiatique dont les déclencheurs ont pu être la communication simultanée des acteurs majeurs d'Internet, l'empressement auquel ils s'encourageaient les utilisateurs à appliquer les correctifs, et au secret entourant la vulnérabilité.

Ces facteurs réunis ont pu jouer un rôle d'amplification des risques perçus. Risques qui seraient eux aussi alors à relativiser, même si des entreprises ont déjà hâté leur cycle de déploiement des patchs, parfois sur des périmètres très étendu. Les serveurs racines d'Internet ne sont eux pas concernés.

"Les serveurs DNS des entreprises sont normalement très peu exposés du fait des règles de sécurité appliquées en standards à ceux-ci. En effet, pour être vulnérable, le paramétrage des serveurs DNS doit autoriser les requêtes dites récursives. Or en l'occurrence, la quasi-totalité des entreprises interdisent cette configuration sur leurs DNS externes. Seuls les serveurs des FAI peuvent a priori y être sensibles. Il faut toutefois noter qu'une étude précise des attaques nous montre que celles-ci sont complexes à mettre en œuvre, avec des probabilités de réussite faible", conclut ainsi Eric Gruson.