La faille DNS d'Apple seulement à moitié corrigée ?

Lancé bien après tout le monde, le patch de vulnérabilité DNS ne serait pas totalement efficace. L'annulation de la présence d'Apple à la conférence Black Hat lui permet de ne pas avoir à s'expliquer.

Le moins que l'on puisse dire, c'est qu'il aura pris son temps. Alors que plus de 3 semaines se sont écoulées depuis la découverte d'une faille affectant les serveurs de routage DNS (lire notre analyse du 21/07/2008), Apple vient seulement de réagir, en publiant son patch de vulnérabilité.

Englobé dans le pack Security Update 2008-005 proposé désormais en téléchargement automatique pour serveurs Mac OS X v10.4 et .5, ce patch est proposé conjointement avec 16 autres correctifs, dévoilés pour palier une série de failles de nature variée (telnet, fetchmail, DHCP, LaunchServices, OpenSSH...).

Mais alors que Microsoft, Cisco, Sun Microsystems et consorts ont su réagir dans la foulée de la parution de la faille, il semblerait bien qu'Apple ait été pris de court. Ce dernier ayant initialement prévu de publier son correctif à l'occasion de la tenue du Black Hat, grand-messe annuelle consacrée aux enjeux de la sécurité des SI et des postes clients qui se déroule ces jours-ci à Las Vegas.

Oui mais voilà : alors qu'il était initialement prévu que la faille DNS découverte par Dan Kaminsky soit dévoilée à l'occasion de cet évènement, cela n'a pas été le cas. Sa révélation prématurée ayant valu aux éditeurs/constructeurs de lancer dans la précipitation leurs séries de patchs respectifs...Et certains plus que d'autres.

Ce n'est pas la première fois qu'Apple est pris sous le feu des critiques lors des conférences Black Hat

Ainsi, c'est Andrew Storms, chercheur au SANS Internet Storm Center, qui a tiré le premier à boulets rouges sur Apple et pointé du doigt l'efficacité toute relative de son patch DNS. Notamment en mettant en avant le fait que, si ce dernier permettait bien de corriger la faille DNS au niveau du serveur BIND, ne résolvait en rien celle soulevée du côté des clients DNS.

Tout le problème venant de l'incapacité du client DNS à changer la numérotation séquentielle des ports au moment où il tente d'obtenir l'IP du site Web dont l'utilisateur tape l'URL dans le champs de recherche de son navigateur. 

Ce n'est d'ailleurs pas la première fois qu'Apple essuie les critiques à l'occasion de la tenue des conférences Black Hat. Cela a par exemple déjà été le cas lors de l'édition 2006, lorsque les consultants en sécurité David Maynor et Jon Ellch ont dévoilé des failles dans les pilotes Wi-Fi des PC et des Macintosh via un...MacBook, mais aussi en 2007, avec un autre type de faille, cette fois relative à la connexion Wi-Fi de l'iPhone.

Prisonnier de sa volonté de verrouiller coûte que coûte son discours pour tuer dans l'œuf la moindre critique mais pris de court par l'ampleur de la faille DNS, c'est la queue entre les jambes qu'Apple a pris ainsi la décision d'annuler dans la précipitation sa présence à l'ensemble de la conférence Black Hat.

Cependant, si aucun évènement ne vient entraver les plans marketing et de communication d'Apple l'année prochaine, gageons que sa présence à l'une des conférences IT les plus emblématiques au monde n'en sera que plus physique.