Des avancées majeures dans les attaques DNS et BGP

La recherche en sécurité a permis d'identifier des méthodologies innovantes d'attaque permettant de réaliser un empoisonnement DNS et le détournement du protocole BGP utilisé par les opérateurs pour le routage.

Début juillet, l'annonce par le chercheur en sécurité Dan Kaminsky de l'existence d'une vulnérabilité dans le protocole DNS combiné au travail concerté des éditeurs pour fournir un correctif créait l'emballement.

Cependant, à la demande de Kaminsky, les détails de la faille et de sa technique d'exploitation devaient être tenus secrets jusqu'à sa présentation devant un parterre d'experts lors la Black Hat d'août.

Le silence sur la faille ne fut toutefois pas complet. Ainsi des exploits pour l'outil de pénétration Metasploit circulèrent et en juillet des commentaires techniques sur une méthode d'empoisonnement DNS étaient publiés sur Internet - avant d'être rapidement retirés.

Ces éléments préludaient en effet les déclarations qui seraient faites par Dan Kaminsky au cours de sa conférence. L'intérêt de ses travaux residait ainsi avant tout dans sa méthodologie d'exploitation, plus que dans la faiblesse du protocole DNS, déjà identifiée.

Le protocole DNS utilise UDP, un protocole moins sûr que TCP, et permettant de forger des paquets assez simplement. On sait depuis longtemps qu'il est possible théoriquement, lorsqu'une machine demande une adresse IP, de créer les paquets de réponse. Et pour que l'ordinateur cible prenne en compte la réponse falsifiée, l'attaquant doit tenir le même Query ID que celui employé pour la demande de résolution DNS.

"Cette technique permet de réussir une attaque DNS sur un serveur vulnérable en seulement dix minutes"

"Ce que Kaminsky a découvert c'est une façon d'empoisonner le DNS. Dans la pratique lorsqu'un ordinateur veut accéder à un site Web, il va demander l'adresse IP en adressant une requête au DNS de son FAI. Ce serveur va alors interroger le DNS faisant autorité sur le domaine, par exemple google.fr. L'adresse est ensuite stockée en cache par le serveur de noms du FAI. L'objectif pour l'attaquant est donc d'empoisonner ce cache avant qu'une cible n'en fasse la demande. Mais pour cela il doit posséder le Query ID ou le deviner", synthétise Paulo Pinto, directeur technique du cabinet de sécurité Sysdream. 

"Mais si l'attaquant se trompe dans le Query ID, la réponse est mise en cache et il lui faudra attendre longtemps avant de pouvoir refaire une tentative. La méthode présentée contourne cette difficulté car la tentative est réalisée sur un sous-domaine. C'est une grosse avancée. Cette technique permet de réussir une attaque DNS sur un serveur vulnérable en près de seulement dix minutes", poursuit-il.

Les cibles les plus exposées à l'attaque sont donc avant tout les fournisseurs d'accès. Les principaux opérateurs devraient en principe avoir à l'heure qu'il est déjà appliqué les correctifs de sécurité. Quant aux DNS internes des entreprises, ils peuvent eux aussi faire l'objet d'attaques, à condition toutefois que l'attaquant ait un accès au réseau local. Les risques sont cependant moindres. 

La démonstration d'une attaque contre le protocole de routage BGP (Border Gateway Protocol) n'a pas eu le retentissement de celle affectant le DNS. Les deux chercheurs, Anton Kapela et Alex Pilosov jouaient pourtant eux-aussi la carte de la médiatisation.

Leur découverte représente néanmoins une percée dans le domaine des attaques dirigées contre BGP puisqu'elle pourrait permettre d'agir sur les routeurs BGP en leur imposant une route sur le réseau pour ainsi réacheminer le trafic d'un site Internet comme Paypal.

La première limitation de ce type d'attaque est qu'elle ne peut s'appliquer sans que l'assaillant ait accès au réseau d'un opérateur, le protocole de routage BGP étant exclusivement employé entre les opérateurs. L'opérateur Pakistan Telecom en a d'ailleurs fait l'expérience dans sa volonté de filtrer l'accès à Youtube. Une erreur de manipulation de l'opérateur s'est traduite par l'inaccessibilité du site de vidéo.

"Comme pour Kaminsky, l'innovation tient essentiellement à la méthodologie. Les deux chercheurs ont ainsi mis au point une technique permettant de détourner le trafic sans pour autant bloquer le service, comme ce fut le cas pour Youtube. Ils ont aussi définis des procédés pour dissimuler leur détournement. Malgré tout, les opérateurs et sites qui souscrivent à certains services payants (dont MyASN et Renesys Route Intelligence) sont alertés lors d'un changement sur leur route", conclut Paulo Pinto.

Routeur / DNS