Les correctifs de la mégafaille DNS prennent l'eau

David Maume

01net.

le 12/08/2008 à 16h25

4 réactions

envoyer
par mail

imprimer
l'article

La faille critique découverte dans le protocole DNS, et que les éditeurs de logiciels et les fabricants de matériels ont tenté de corriger en juillet dernier en lançant une opération conjointe de grande envergure, se révèle bien plus problématique que prévue.

Certains patchs sont totalement inefficaces. D’après Swa Frantzen, chercheur au SANS Institute, et Andrew Storms, chercheur au SANS Internet Storm Center, ce serait notamment le cas du patch récemment publié par Apple pour sécuriser les serveurs Mac OS X.

Les firewall annulent l'effet des patchs

Le problème le plus complexe, et que les fabricants n'avaient pas anticipé, vient des firewall réseaux. Pour mémoire, le protocole DNS sert à traduire les noms des sites Web en adresses IP tandis que les firewall, situés entre les serveurs DNS et Internet, vérifient que le trafic Web (entrant et sortant) est bien légitime.

Or, pour réaliser ce travail de filtrage, la plupart des firewall n’hésitent pas à modifier arbitrairement certains paramètres des protocoles de transport, en particulier lorsqu’ils se chargent de convertir les adresses IP d’un sous-réseau (fonction NAT pour Network Address Translation). Dans certains cas, ces modifications unilatérales se traduisent par l’annulation des effets des correctifs.

“ Sur la plupart des firewall, lorsque la fonction “Port translation” est activée, une des parades liée à la faille DNS et baptisée “Randomization Port” – qui consiste à attribuer des ports de manière aléatoire pour compliquer le travail des pirates – est désactivée car le firewall réalloue les numéros de port à sa façon ”, explique Raphaël Marichez, responsable de la formation “ DNS et sécurité ” de Hervé Schauer Consultants (HSC). Même si le serveur DNS a été reprogrammé pour communiquer par l'intermédiaire de ports aléatoires, le firewall le rendra alors plus prévisible, donc plus facilement attaquable.

La fonction concernée n'est toutefois pas systématiquement utilisée. “ Moins de 25 % des firewall utilisent la fonction “Port translation”. Le problème est qu’elle est très difficile à remplacer ”, explique Raphaël Marichez. Selon lui, dans ces cas bien précis, les fabricants doivent trouver des solutions spécifiques avec leurs clients.

Les fabricants préparent de nouveaux correctifs

“ Nous travaillons déjà assidûment avec nos clients afin d’implémenter rapidement des solutions de contournement. Nos équipes développent aussi une option qui permettra à nos firewall d’attribuer aléatoirement des ports, ce qui permettra de réduire les risques ”, explique par e-mail Barry Green, directeur de l’équipe en charge de la sécurité chez Juniper. Quant à Cisco, le fabricant n'a pas été en mesure de répondre à temps.

Pour l’heure, la plupart des fabricants (Juniper, Cisco, Citrix, etc.) encouragent leurs clients à contacter le support technique afin de régler leurs problèmes au cas par cas. Plusieurs sites spécialisés comme DNS-OARC permettent de tester la sécurité des serveurs DNS en tenant compte des firewall installés. Très clairs, les résultats se présentent sous la forme de graphiques qui indiquent le niveau de sécurité de chaque serveur DNS (voir captures ci-dessous).

Selon Raphaël Marichez, étant donnés les efforts menés conjointement par les éditeurs et les fabricants, l'essentiel des serveurs DNS devrait être patché d'ici à la fin de l'année seulement. Et comme d'autres éléments réseaux tels que les firewall requièrent eux aussi un effort de maintenance, la correction de la faille risque de prendre du temps.

Quant aux vulnérabilités intrinsèques du protocole DNS, aucune amélioration réelle – à laquelle le protocole DNSSEC (1) est candidat – n'est à prévoir avant de nombreuses années.

agrandir la photo

agrandir la photo

(1) Le protocole DNSSEC est une version sécurisée du protocole DNS, très lourde à mettre en œuvre, avec une signature chiffrée pour tout échange de données.