Retour à la liste

Vulnérabilité découverte dans le DNS - mises à jour nécessaires

mercredi 09 juillet 2008 00:00:00

Une importante vulnérabilité dans le protocole DNS a été annoncée publiquement hier http://www.kb.cert.org/vuls/id/800113, après avoir été découverte il y a 6 mois - laps de temps nécessaire pour mettre les "patches" au point. [...]

  Il faut noter que cette vulnérabilité est dans le protocole, pas dans une mise en oeuvre particulière, même si des mesures peuvent être prises par certains logiciels pour limiter les risques. On notera également que l'attaque est probabiliste, un serveur « vulnérable » peut résister à l'attaque s'il est très chanceux, un serveur « non vulnérable » peut quand même être attaqué avec succès s'il n'a pas de chance. Cette vulnérabilité ne concerne que les serveurs DNS récursifs (communément appelés « résolveurs ») et permet de leur faire accepter des réponses fausses par exemple de leur faire croire que fr.wikipedia.org est au 192.0.2.66 au lieu de la vraie adresse IP. Elle permet ainsi de rediriger tout trafic qui n'est pas protégé cryptographiquement (le trafic SSH ou bien TLS, par exemple HTTPS, est ainsi, a priori, en sécurité, à condition que les utilisateurs tiennent compte des avertissements envoyés par leur logiciel). Elle ne concerne donc pas les serveurs de noms de la zone .fr, serveurs qui font autorité pour la zone. Les autres serveurs faisant autorité ne sont pas non plus touchés s'ils ont coupé la récursion. En revanche, tout gérant de serveur récursif doit mettre à jour d'urgence son logiciel, vers une version non vulnérable. Les résolveurs les plus répandus (tels que BIND ou bien le résolveur Microsoft) étaient vulnérables (des logiciels plus rares tels que PowerDNS ou Unbound mettaient déjà en oeuvre les protections qui limitent le risque). Les administrateurs DNS sont invités sans attendre à suivre les consignes des alertes de sécurité pour télécharger et installer les versions non vulnérables des logiciels DNS récursifs qu'ils utilisent. Les « patches » qui ont été ajoutés à des logiciels tels que BIND reposent tous sur l'« Internet-Draft » « Measures for making DNS more resilient against forged answers », document IETF auquel l'AFNIC a beaucoup participé depuis le début (voir par exemple une présentation à la réunion IETF de Prague en mars 2007 http://www.ietf.org/proceedings/07mar/slides/dnsext-0.pdf, longtemps avant que la vulnérabilité soit découverte). Un bon résumé expliquant la vulnérabilité se trouve en http://securosis.com/publications/DNS-Executive-Overview.pdf
Haut de page

A propos de l'AFNIC

L’Afnic (Association française pour le nommage Internet en coopération) est une association française à but non lucratif. Depuis 20 ans, nous sommes l'office d'enregistrement pour la gestion des adresses internet sous l’extension .fr. Nous gérons également les extensions ultramarines .re (Ile de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques françaises), .wf (Wallis et Futuna), .yt (Mayotte). Ce qui représente plus de 3,2 millions de noms de domaine et sommes l’opérateur technique de 14 entreprises et collectivités ayant choisi d’avoir leur propre extension dont .paris, .bzh, .alsace, .corsica, .mma, .ovh, .leclerc ou encore .sncf. Nous sommes engagés à accompagner la transformation numérique des TPE/PME grâce à notre dispositif Réussir en .fr (www.reussir-en.fr) et proposons une offre gratuite d’accompagnement à la présence en ligne allant des outils de diagnostic aux formations sur le terrain dans toute la France. En tant qu’association, nous fédérons une communauté de plus d’une centaine de membres aux profils variés mais tous acteurs du web : bureaux d’enregistrement, entreprises, fédérations, utilisateurs, institutionnels, etc. Notre rôle s’inscrit dans une mission d’intérêt général plus large, qui consiste à contribuer au quotidien à un internet sûr et stable, ouvert aux innovations où la communauté internet française joue un rôle de premier plan. Par ailleurs, nous reversons 90% des bénéfices de la gestion du .fr à notre Fondation Afnic pour la solidarité numérique (www.fondation-afnic.fr) qui finance chaque année une trentaine de projets visant à réduire la fracture numérique sur tout le territoire français.