Le DNS : Une pierre angulaire en danger ?

Sans les services de résolution de noms du DNS, gigantesque base de données distribuée, l'Internet ne serait pas ce qu'il est actuellement : Imaginez-vous en train de manipuler des adresses IP en lieu et place d'URL pour accéder à des sites web ? Non. Au sein des réseaux Intranet, on retrouve les mêmes systèmes avec des configurations un peu (plus) spécifiques comme celles de "Split-DNS" qui fournissent une séparation entre espaces de nommages (interne vs externe) et apportent une petite touche de sécurité.

Je passerai sous silence (pour cette fois) les serveurs DNS insécurisés qui sont détournés (cf DNS poisoning) ou utilisés à leur insu comme des moyens d'amplification pour des attaques en déni de service (On reparlera de ce sujet).

Mon propos : L'intégrité des informations fournies par un service comme le DNS est un élément essentiel pour la sécurité des communications. Allez consulter le mauvais annuaire et vous êtes mis en relation avec un interlocuteur indélicat qui va vous rançonner/extorquer/flouer/.... de multiples manières les plus habiles les unes des autres.

Pendant deux minutes, imaginez simplement la puissance d'une attaque basée sur l'usurpation des adresses IP associées à http://espace-client.monprovider.com ou http://www.mabanqueamoi.com/ .... L'URL dans la barre d'adresse du navigateur est "impeccable", j'arrive sur le site : Je rentre mon login et mot de passe... Et hop, s'en est fini... mon webmail vient d'être détourné pour l'envoi de spam ou alors je vient de perdre subitement 400 USD... Certains diront "Mais le certificat SSL ne va pas correspondre, donc pop-up à l'utilisateur".... Oui. Mais je leur répondrai : Que même si il y en a un, combien d'utlisateurs "classiques" ont le syndrome du "clic OK/Continuer instantané" ? Beaucoup mon général, beaucoup... Une attaque très puissante donc avec peu de chances pour un utlisateur même un peu averti de se rendre compte qu'il a été abusé.... donc du temps pour le "pirate" de se faire la malle avec son magot.

Comment cela fonctionne ? Simplement encore une fois : Un petit "malware" qui reconfigure les paramètres de configuration réseau de votre poste, un équipement d'interconnexion (routeur, ou autre "Box") à la sécurité défaillante qui, suite à la consultation d'une page malicieuse (Bruce Schneier, Drive-By Pharming attacks, February 2007) est reconfiguré à votre insu ou alors des serveurs DNS locaux compromis... Et la liste n'est pas exhaustive.

Mais que fait la police ? Elle préconise d'utiliser en lieu et place la version sécurisée du DNS, j'ai nommé DNSSEC. Est-ce déployé ? La réponse est non... Existe-t-il des services de DNS "sécurisés" ? Oui, bien sur. Business is business. :-)

Quel est le terme générique utilisé pour désigner ce type d'attaques : Le "Pharming". Wikipedia et plus généralement Google étant vos amis, je vous dispense de l'affront de vous donner les liens.

Comment se fait-il que je soit en train de rédiger un bulletin sur ce sujet ? Tout simplement que je suis tombé par hasard (?) sur un papier fort instructif : Corrupted DNS Resolution Paths: The Rise of a Malicious Resolution Authority, February 2008 (PDF).

Bonne lecture et bonne fin de journée à nos (très nombreux) lecteurs.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens