Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bernard Ourghanlian, Microsoft : le DNS a un problème endémique

juillet 2008 par Emmanuelle Lamandé

Pour Bernard Ourghanlian, Directeur Technique Sécurité chez Microsoft France, le DNS, dont la vulnérabilité fut remise au goût du jour par Dan Kaminsky, doit faire face à un problème endémique. Malgré une collaboration sans précédent avec les principaux acteurs de l’Internet et la correction apportée, il est à craindre que celle-ci ne soit plus suffisante dans 5 ou 10 ans. Il sera, en effet, possible d’usurper ou de faire dysfonctionner le serveur DNS. En conséquent, il faudra soit généraliser le DNSSEC ou remodeler le système en profondeur, ce qui est difficile à mettre en œuvre puisqu’on ne peut pas rebooter l’Internet…

GS Mag : Le patch conseillé par Microsoft pour se protéger de la faille DNS a-t-il des risques d’effets secondaires, comme ce fut le cas avec Check Point par exemple ?

Bernard Ourghanlian : A ce jour, nous ne sommes pas au courant de problèmes en dehors de ceux concernant ZoneAlarm et Check Point Endpoint Security. Check Point a d’ailleurs fourni à ses utilisateurs une solution permanente permettant à la fois d’installer la correction et de continuer d’utiliser ces produits de sécurité. Même si nous n’avons classé la vulnérabilité que comme « importante » et pas « critique » nous considérons qu’il existe un certain nombre de risques potentiels, d’autant plus que la documentation de l’exploitation de cette vulnérabilité est maintenant publique. C’est pourquoi nous sensibilisons nos clients sur l’importance de patcher. En fait, pratiquement tous les fournisseurs sont concernés par ce problème. A notre connaissance, 68 fournisseurs de logiciels ont du faire face à cette vulnérabilité. En ce qui concerne Check Point, les tests effectués sur le correctif n’étaient manifestement pas suffisants mais il est vrai qu’il est difficile de tester tous les environnements possibles. En tout état de cause, il est important, surtout sur un problème comme celui-là qui concerne tout l’Internet, de faire le maximum de tests, de manière à ce que le patch ne fasse pas plus de mal que de bien.

GS Mag : Quels sont les principaux risques qu’encourt une entreprise qui n’appliquerait pas les patchs nécessaires ?

Bernard Ourghanlian : Nous avons classé la vulnérabilité comme « importante », mais pas « critique ». Elle permet de rediriger le trafic en direction d’un serveur qui ne serait pas le bon. Il s’agit du même phénomène que le phishing. Dans la réalité, dans le cas d’une éventuelle exploitation de cette vulnérabilité, il serait difficile pour l’internaute de se rendre compte qu’il se trouve sur un site Web usurpé. Au niveau de l’attaque, deux éléments doivent être mis en route pour que l’on puisse utiliser la tromperie des utilisateurs : attaquer un serveur DNS et frelater un site Web. La réalisation d’une attaque de ce type n’est donc pas quelque chose d’extrêmement aisé à mettre en œuvre. Il est nécessaire de patcher mais la capacité d’exploiter cette faille reste relativement limitée, d’autant plus qu’il faut aussi convaincre un internaute d’utiliser le site Web filouté en question.

La correction apportée essaie de pallier un certain nombre de problèmes historiques liés au protocole DNS lui-même et à sa mise en œuvre. La faille se trouve à l’origine dans une faiblesse du protocole DNS, dans la manière dont il a été conçu. Les machines à l’époque n’étaient pas aussi puissantes qu’aujourd’hui, c’est pourquoi cette faille n’est pas apparue plus tôt. DNS utilise UDP, un protocole sans état. Un serveur DNS envoie une demande au sein d’un seul paquet UDP, puis attend la réponse. Afin de faire correspondre la demande et la réponse, un certain nombre de paramètres sont vérifiés : Qui a envoyé la réponse ? Etait-ce le serveur DNS à qui nous avons envoyé la demande ? Pour la réponse en question, avons-nous une demande en suspens ? Chaque demande utilise un unique et aléatoire « Query ID ». La réponse doit utiliser le même « Query ID ». De plus, la réponse doit être envoyée sur le même port que celui à partir duquel la demande a été envoyée. Ce n’est que lorsque tous ces éléments correspondent que la réponse est acceptée en sachant que la première réponse valable gagne. Si un attaquant est capable de deviner le « Query ID » et le port source, celui-ci est en mesure d’envoyer une fausse réponse, qui sera mis en cache par le serveur DNS. La correction a donc consisté à ajouter des sources d’aléas complémentaires sur les numéros de ports, afin d’augmenter le temps pendant lequel un attaquant pourrait essayer toutes les combinaisons possibles de numéros de ports et de « Query ID » pour « forger » une fausse réponse.

Ce problème a été contourné par l’ensemble des acteurs, mais le problème de fond demeure car les performances des machines s’amélioreront sans cesse. D’ici 5 à 10 ans, nous risquons d’être confrontés au même type de problème.

GS Mag : Face à ce constat, quelles sont les différentes alternatives ? Doit-on remodeler le système de fond en comble, comme le préconisent certains experts depuis plusieurs années ?

Bernard Ourghanlian : Le problème vient de l’Internet en tant que tel. La solution serait de changer la nature même du protocole DNS, ce qui est en soi « impossible ». Pour plus de sécurité, il est possible d’utiliser la version sécurisée du protocole, DNSSEC. Cependant, cette dernière option est beaucoup plus compliquée et plus chère à mettre en œuvre car nécessitant la mise en œuvre d’une PKI. DNSSEC est donc encore peu répandu. Le DNS a un problème endémique, qu’on a résolu grâce à une collaboration efficace avec les principaux acteurs de l’internet, mais il est à craindre que cette correction ne soit pas suffisante dans 5 ou 10 ans. Il sera, en effet, possible d’usurper ou de faire dysfonctionner le serveur DNS. Il faudra soit généraliser le DNSSEC ou remodeler le système en profondeur, ce qui est difficile à mettre en œuvre car on ne peut pas rebooter l’Internet…

GS Mag : Collaborez-vous avec les autres acteurs au sujet de cette vulnérabilité ? De quelle manière ?

Bernard Ourghanlian : Dans le cadre du dispositif de divulgation responsable, nous avons communiqué avec Dan Kaminsky au sujet de cette vulnérabilité. Nous avons également collaboré avec l’ensemble des acteurs de l’Internet de manière à ce que tout le monde puisse mettre à disposition la correction. Notre serveur DNS est le plus utilisé avec le serveur BIND de l’Internet Software Consortium. Nous avons donc travaillé de concert pour que ce problème soit résolu au plus vite tout en étant correctement testé. Ici, personne n’avait intérêt à ne pas jouer le jeu. On peut d’ailleurs saluer l’ampleur de cette collaboration, à ma connaissance sans égale jusqu’à présent. Ceci démontre que lorsque la sécurité globale de l’Internet est en danger, l’ensemble des acteurs sait se mobiliser, ce qui est la preuve que le marché de l’informatique gagne en maturité.

GS Mag : Pour conclure, quel serait votre message au RSSI/DSI ?

Bernard Ourghanlian : Patchez ! Il y a une mise à jour, installez là. Notre expérience récente démontre que les RSSI ont systématiquement inclus dans leur plan de sécurité la mise en œuvre des correctifs de sécurité, mais que, bien souvent, ce plan n’est pas suivi des faits et que les patchs ne sont pas installés pour des raisons de contraintes de production (ou prétendues telles…). Ici, il serait pertinent de le faire, d’autant plus que les détails de la mise en œuvre d’une attaque sont désormais publics.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants