Retour à la liste

Les attaques de registres

jeudi 04 juin 2009 00:00:00

Vous avez sans doute vu un des nombreux articles publiés depuis trois semaines, sur les attaques portant sur les systèmes d'enregistrement de noms de domaines : les ccTLD de la Nouvelle-Zélande, de Porto-Rico et du Maroc ont été touchés. Dans tous les cas, un méchant réussit, en exploitant une faille de sécurité, à s'introduire dans le système d'information du registre, ou bien d'un des bureaux d'enregistrement, et change alors les données. Par exemple, au Maroc, l'attaque a porté sur le BE domain.ma, qui gère google.co.ma. Le domaine a été reconfiguré pour utiliser des serveurs de noms non-Google, qui donnaient, pour www.google.co.ma, une adresse IP d'un site où le méchant publiait des messages à lui. Le rythme semble s'accélérer et d'autres attaques réussies sont signalées (Tunisie, Ouganda, Équateur) [...]

Le rythme semble s'accélérer et d'autres attaques réussies sont signalées (Tunisie, Ouganda, Équateur). Comme le domaine de Google était souvent visé, Google a publié un texte expliquant que c'était la faute du DNS. Des organismes comme l'ICANN ont mis en place des équipes pour travailler sur le question (récolte d'information et peut-être rapport de synthèse plus tard). C'est donc l'occasion de faire un petit point INTERNE À L'AFNIC. Attention, l'AFNIC n'est pas au courant de tous les détails de ces attaques et il faut donc prendre tout cela avec beaucoup de pincettes. Les articles publiés dans la presse doivent être considérés avec beaucoup de méfiance. Donc, ce qui semble émerger : il n'est pas certain qu'il s'agisse d'une attaque coordonnée. C'est évidemment tentant que penser qu'un seul groupe vise tous les registres de ccTLD en même temps mais ce n'est pas prouvé, il peut s'agir d'un simple effet de mode (un peu comme les voitures qui brûlent en banlieue). aucune de ces attaques ne semble mériter le nom d'attaque DNS. Toutes ont porté sur le système d'enregistrement, en amont du DNS. (L'attaque la plus courante porte le nom d'« injection SQL » et est une méthode très banale.) Une fois l'attaque réussie, le craqueur insère de fausses données dans la base et le DNS publie aveuglément ces données. Donc, le titre de l'article d'InfoWorld est clairement faux. Tout ceci forme une leçon très classique en sécurité : les experts se focalisent sur les attaques de haute technologie et ignorent souvent les attaques bêtes, simples et classiques comme l'injection SQL (voire l'ingéniérie sociale, la technique qui consiste à convaincre des employés d'un registre/BE, de faire ce qu'on veut). Les systèmes d'enregistrement sont d'autant plus vulnérables qu'ils ont été développés vite, et pour le moins cher possible. Il est bien plus facile de trouver des moyens pour ajouter des fonctions (et des bogues) que pour corriger le système existant. Dans le cas de l'AFNIC, un audit de sécurité effectué par la société HSC l'année dernière avait beaucoup aidé, en identifiant les failles de sécurité existantes, notamment en terme d'injection SQL (toutes celles trouvées par l'audit ont été corrigées). Mais il reste la question des BE : contractuellement, ils n'ont pas d'obligation, même théorique, en matière de sécurité informatique. Si un BE est attaqué et piraté, les données reçues par l'AFNIC, puis publiées dans le DNS, ne seront pas celles voulues par le titulaire du domaine. Et ceci, sans que l'AFNIC n'y puisse rien. Terminons en rendant hommage aux malawites qui sont les seuls à avoir publié un rapport technique précis sur les attaques. Les marocains ont également publié. Stéphane
Haut de page

A propos de l'AFNIC

Créée en 1997, l’Afnic - Association Française pour le Nommage Internet en Coopération - est une association à but non lucratif. Désignée par l'État pour gérer les noms de domaine en .fr, elle en assure la promotion auprès des entrepreneurs et des particuliers. Gestionnaire historique du .fr avec plus de 3,2 millions de noms de domaine à ce jour, elle se positionne également comme fournisseur de solutions techniques et de services de registre : elle accompagne ainsi 14 projets de nouveaux domaines Internet de premier niveau dont le .paris et le .bzh. L’Afnic est implantée à Saint-Quentin en Yvelines : 80 personnes travaillent ainsi à ce bien commun qu’est l’Internet français. L’Afnic reverse 90% des bénéfices du .fr à la Fondation Afnic pour la solidarité numérique, qui finance des projets internet solidaire sur l’ensemble du territoire français. www.afnic.fr.