Retour à la liste

Les attaques de registres

jeudi 04 juin 2009 00:00:00

Vous avez sans doute vu un des nombreux articles publiés depuis trois semaines, sur les attaques portant sur les systèmes d'enregistrement de noms de domaines : les ccTLD de la Nouvelle-Zélande, de Porto-Rico et du Maroc ont été touchés. Dans tous les cas, un méchant réussit, en exploitant une faille de sécurité, à s'introduire dans le système d'information du registre, ou bien d'un des bureaux d'enregistrement, et change alors les données. Par exemple, au Maroc, l'attaque a porté sur le BE domain.ma, qui gère google.co.ma. Le domaine a été reconfiguré pour utiliser des serveurs de noms non-Google, qui donnaient, pour www.google.co.ma, une adresse IP d'un site où le méchant publiait des messages à lui. Le rythme semble s'accélérer et d'autres attaques réussies sont signalées (Tunisie, Ouganda, Équateur) [...]

Le rythme semble s'accélérer et d'autres attaques réussies sont signalées (Tunisie, Ouganda, Équateur). Comme le domaine de Google était souvent visé, Google a publié un texte expliquant que c'était la faute du DNS. Des organismes comme l'ICANN ont mis en place des équipes pour travailler sur le question (récolte d'information et peut-être rapport de synthèse plus tard). C'est donc l'occasion de faire un petit point INTERNE À L'AFNIC. Attention, l'AFNIC n'est pas au courant de tous les détails de ces attaques et il faut donc prendre tout cela avec beaucoup de pincettes. Les articles publiés dans la presse doivent être considérés avec beaucoup de méfiance. Donc, ce qui semble émerger : il n'est pas certain qu'il s'agisse d'une attaque coordonnée. C'est évidemment tentant que penser qu'un seul groupe vise tous les registres de ccTLD en même temps mais ce n'est pas prouvé, il peut s'agir d'un simple effet de mode (un peu comme les voitures qui brûlent en banlieue). aucune de ces attaques ne semble mériter le nom d'attaque DNS. Toutes ont porté sur le système d'enregistrement, en amont du DNS. (L'attaque la plus courante porte le nom d'« injection SQL » et est une méthode très banale.) Une fois l'attaque réussie, le craqueur insère de fausses données dans la base et le DNS publie aveuglément ces données. Donc, le titre de l'article d'InfoWorld est clairement faux. Tout ceci forme une leçon très classique en sécurité : les experts se focalisent sur les attaques de haute technologie et ignorent souvent les attaques bêtes, simples et classiques comme l'injection SQL (voire l'ingéniérie sociale, la technique qui consiste à convaincre des employés d'un registre/BE, de faire ce qu'on veut). Les systèmes d'enregistrement sont d'autant plus vulnérables qu'ils ont été développés vite, et pour le moins cher possible. Il est bien plus facile de trouver des moyens pour ajouter des fonctions (et des bogues) que pour corriger le système existant. Dans le cas de l'AFNIC, un audit de sécurité effectué par la société HSC l'année dernière avait beaucoup aidé, en identifiant les failles de sécurité existantes, notamment en terme d'injection SQL (toutes celles trouvées par l'audit ont été corrigées). Mais il reste la question des BE : contractuellement, ils n'ont pas d'obligation, même théorique, en matière de sécurité informatique. Si un BE est attaqué et piraté, les données reçues par l'AFNIC, puis publiées dans le DNS, ne seront pas celles voulues par le titulaire du domaine. Et ceci, sans que l'AFNIC n'y puisse rien. Terminons en rendant hommage aux malawites qui sont les seuls à avoir publié un rapport technique précis sur les attaques. Les marocains ont également publié. Stéphane
Haut de page

A propos de l'AFNIC

L’Afnic (Association française pour le nommage Internet en coopération) est une association française à but non lucratif. Depuis 20 ans, nous sommes l'office d'enregistrement pour la gestion des adresses internet sous l’extension .fr. Nous gérons également les extensions ultramarines .re (Ile de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques françaises), .wf (Wallis et Futuna), .yt (Mayotte). Ce qui représente plus de 3,2 millions de noms de domaine et sommes l’opérateur technique de 14 entreprises et collectivités ayant choisi d’avoir leur propre extension dont .paris, .bzh, .alsace, .corsica, .mma, .ovh, .leclerc ou encore .sncf. Nous sommes engagés à accompagner la transformation numérique des TPE/PME grâce à notre dispositif Réussir en .fr (www.reussir-en.fr) et proposons une offre gratuite d’accompagnement à la présence en ligne allant des outils de diagnostic aux formations sur le terrain dans toute la France. En tant qu’association, nous fédérons une communauté de plus d’une centaine de membres aux profils variés mais tous acteurs du web : bureaux d’enregistrement, entreprises, fédérations, utilisateurs, institutionnels, etc. Notre rôle s’inscrit dans une mission d’intérêt général plus large, qui consiste à contribuer au quotidien à un internet sûr et stable, ouvert aux innovations où la communauté internet française joue un rôle de premier plan. Par ailleurs, nous reversons 90% des bénéfices de la gestion du .fr à notre Fondation Afnic pour la solidarité numérique (www.fondation-afnic.fr) qui finance chaque année une trentaine de projets visant à réduire la fracture numérique sur tout le territoire français.