Aller au contenu Aller au menu principal Aller au menu secondaire Aller au pied de page

Vulnérabilité découverte dans le DNS, mises à jour nécessaires

Accueil > Observatoire & ressources > Actualités > Vulnérabilité découverte dans le DNS, mises à jour nécessaires
Le 09/07/08

Une importante vulnérabilité dans le protocole DNS
a été annoncée publiquement le 8 juillet 2008,
après avoir été découverte il y a six mois -laps de temps nécessaire pour mettre les « patches » au point.
Un bon résumé se trouve à cette adresse :
http://securosis.com/publications/DNS-Executive-Overview.pdf.

Il faut noter que cette vulnérabilité se situe dans le protocole lui-même et pas dans une mise en œuvre particulière de celui-ci,
même si des mesures peuvent être prises par certains logiciels pour limiter les risques.
On notera également que l’attaque est probabiliste, un serveur « vulnérable » peut résister à l’attaque s’il est très chanceux,
un serveur « non vulnérable » peut quand même être attaqué avec succès s’il n’a pas de chance.

Cette vulnérabilité ne concerne que les serveurs DNS récursifs (communément appelés « résolveurs »)
et permet de leur faire accepter des réponses fausses, par exemple de leur faire croire que
« fr.wikipedia.org » est au 192.0.2.66 au lieu de la vraie adresse IP.

Elle permet ainsi de rediriger tout trafic qui n’est pas protégé cryptographiquement
(le trafic SSH ou bien TLS,
par exemple HTTPS, est ainsi, a priori, en sécurité, à condition que les utilisateurs tiennent compte des avertissements
envoyés par leur logiciel).

Elle ne concerne donc pas les serveurs de noms de la zone fr, serveurs qui font autorité pour la zone.
Les autres serveurs faisant autorité ne sont pas non plus touchés s’ils ont coupé la récursion.

En revanche, tout gérant de serveur récursif doit mettre à jour d’urgence son logiciel, vers une version non vulnérable.
Les résolveurs les plus répandus (tels que BIND ou bien le résolveur Microsoft) étaient vulnérables
(des logiciels plus rares tels que PowerDNS ou Unbound mettaient déjà en œuvre les protections qui limitent le risque).
Les administrateurs DNS sont invités sans attendre à suivre les consignes des alertes de sécurité pour télécharger
et installer les versions non vulnérables des logiciels DNS récursifs qu’ils utilisent.

Les « patches » qui ont été ajoutés à des logiciels tels que BIND reposent tous sur l’Internet-Draft
« Measures for making DNS more resilient against forged answers », document IETF
auquel l’AFNIC a beaucoup participé depuis le début (voir par exemple une
présentation
à la réunion IETF de Prague en mars 2007 longtemps avant que la vulnérabilité soit découverte).

À propos de l’AFNIC

(Association Française pour le Nommage Internet en Coopération)

Association à but non lucratif, l’AFNIC est l’organisme chargé de la gestion administrative et technique des noms de domaine .fr et .re, suffixes internet correspondant à la France et à l’Île de la Réunion.
L’AFNIC est composée d’acteurs publics et privés : représentants des pouvoirs publics, utilisateurs et prestataires de services Internet (bureaux d’enregistrement).
En savoir plus : www.afnic.fr

À propos de l'Afnic

L’Afnic est l’Association Française pour le Nommage Internet en Coopération. Elle est l’office d’enregistrement désigné par l’État pour la gestion des noms de domaine en .fr. L’Afnic gère également les extensions ultramarines .re (Île de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques Françaises), .wf (Wallis et Futuna) et .yt (Mayotte).

Outre la gestion des extensions françaises de l’internet, le rôle de l’Afnic s’inscrit dans une mission d’intérêt général plus large, qui consiste à contribuer au quotidien, grâce aux efforts de ses équipes et de ses membres, à un internet sûr et stable, ouvert aux innovations et où la communauté internet française joue un rôle de premier plan. Ainsi, l’Afnic, association à but non lucratif, s’engage à verser annuellement 11 % de son Chiffre d’Affaires lié aux activités du .fr à des actions d’intérêt général, en affectant notamment 1,3 million d’Euros minimum chaque année à la Fondation Afnic pour la Solidarité numérique.
L’Afnic est également l’opérateur technique de registre d’entreprises et collectivités ayant choisi d’avoir leur propre extension, telle que .paris, .bzh, .alsace, .corsica, .mma, .ovh, .leclerc ou .sncf.

Fondée en 1997 et basée à Saint-Quentin-en-Yvelines, l’Afnic compte aujourd’hui près de 90 collaborateurs.