Retour à la liste

Vulnérabilité découverte dans le DNS - mises à jour nécessaires

mercredi 09 juillet 2008 00:00:00

Une importante vulnérabilité dans le protocole DNS a été annoncée publiquement hier http://www.kb.cert.org/vuls/id/800113, après avoir été découverte il y a 6 mois - laps de temps nécessaire pour mettre les "patches" au point. [...]

  Il faut noter que cette vulnérabilité est dans le protocole, pas dans une mise en oeuvre particulière, même si des mesures peuvent être prises par certains logiciels pour limiter les risques. On notera également que l'attaque est probabiliste, un serveur « vulnérable » peut résister à l'attaque s'il est très chanceux, un serveur « non vulnérable » peut quand même être attaqué avec succès s'il n'a pas de chance. Cette vulnérabilité ne concerne que les serveurs DNS récursifs (communément appelés « résolveurs ») et permet de leur faire accepter des réponses fausses par exemple de leur faire croire que fr.wikipedia.org est au 192.0.2.66 au lieu de la vraie adresse IP. Elle permet ainsi de rediriger tout trafic qui n'est pas protégé cryptographiquement (le trafic SSH ou bien TLS, par exemple HTTPS, est ainsi, a priori, en sécurité, à condition que les utilisateurs tiennent compte des avertissements envoyés par leur logiciel). Elle ne concerne donc pas les serveurs de noms de la zone .fr, serveurs qui font autorité pour la zone. Les autres serveurs faisant autorité ne sont pas non plus touchés s'ils ont coupé la récursion. En revanche, tout gérant de serveur récursif doit mettre à jour d'urgence son logiciel, vers une version non vulnérable. Les résolveurs les plus répandus (tels que BIND ou bien le résolveur Microsoft) étaient vulnérables (des logiciels plus rares tels que PowerDNS ou Unbound mettaient déjà en oeuvre les protections qui limitent le risque). Les administrateurs DNS sont invités sans attendre à suivre les consignes des alertes de sécurité pour télécharger et installer les versions non vulnérables des logiciels DNS récursifs qu'ils utilisent. Les « patches » qui ont été ajoutés à des logiciels tels que BIND reposent tous sur l'« Internet-Draft » « Measures for making DNS more resilient against forged answers », document IETF auquel l'AFNIC a beaucoup participé depuis le début (voir par exemple une présentation à la réunion IETF de Prague en mars 2007 http://www.ietf.org/proceedings/07mar/slides/dnsext-0.pdf, longtemps avant que la vulnérabilité soit découverte). Un bon résumé expliquant la vulnérabilité se trouve en http://securosis.com/publications/DNS-Executive-Overview.pdf
Haut de page

A propos de l'AFNIC

Créée en 1997, l’Afnic - Association Française pour le Nommage Internet en Coopération - est une association à but non lucratif. Désignée par l'État pour gérer les noms de domaine en .fr, elle en assure la promotion auprès des entrepreneurs et des particuliers. Gestionnaire historique du .fr avec plus de 3,2 millions de noms de domaine à ce jour, elle se positionne également comme fournisseur de solutions techniques et de services de registre : elle accompagne ainsi 14 projets de nouveaux domaines Internet de premier niveau dont le .paris et le .bzh. L’Afnic est implantée à Saint-Quentin en Yvelines : 80 personnes travaillent ainsi à ce bien commun qu’est l’Internet français. L’Afnic reverse 90% des bénéfices du .fr à la Fondation Afnic pour la solidarité numérique, qui finance des projets internet solidaire sur l’ensemble du territoire français. www.afnic.fr.