Cricket Liu (Infoblox) : ' Plus d'un million de serveurs DNS ne sont toujours pas protégés '

Expert en technologie DNS, le vice-président Architecture d'Infoblox revient sur les conséquences de la faille Internet de cet été.

Gilbert Kallenborn

01net.

le 01/12/08 à 10h57

95 réactions

envoyer
par mail

imprimer
l'article

<i>01net. :</i> Est-ce que la mégafaille DNS de cet été est désormais un problème résolu dans le monde d'Internet ?
Cricket Liu : Malheureusement non. Nous venons justement de réaliser, en octobre 2008, une étude sur les serveurs DNS. Sur les 11,9 millions de serveurs existants, 44 % répondent à des requêtes dites ' récursives ouvertes ', c'est-à-dire que n'importe qui peut les interroger sur des adresses DNS. Ce qui constitue déjà un risque en soi.
Parmi ces serveurs déjà fragilisés, le quart d'entre eux n'appliquent pas le patch de Dan Kaminsky. Ce correctif complique la tâche aux pirates en introduisant un choix aléatoire du numéro de port dans les requêtes DNS. Au final, cela représente donc plus d'un million de serveurs qui ne sont pas protégés vis-à-vis de la faille de cet été. C'est encore beaucoup trop. Il reste encore du pain sur la planche.

Cette faille a-t-elle déjà servi pour des actes de piraterie ?
Elle a servi dès le jour de sa publication. Cela a été relevé dans des rapports de sécurité. Mais il très difficile d'évaluer l'étendu du problème. On ne peut pas ausculter tous les serveurs DNS pour voir s'ils sont corrompus ou non. Ce serait comme chercher une aiguille dans une botte de foin.
Mais le danger est réel. Grâce à cette faille, les hackers malintentionnés peuvent, par exemple, détourner le trafic e-mail ou usurper le nom de sites Internet.

Quels conseils faut-il donner aux administrateurs ?
Tout d'abord, il faut limiter les requêtes récursives par une liste de contrôle d'accès. Il faut que les serveurs DNS ne soient accessibles qu'à une catégorie d'utilisateurs, comme les employés d'une entreprise ou les clients d'un FAI. Ensuite, il faut évidemment appliquer le ' patch Kaminsky ' [le correctif publié par les différents éditeurs pour combler cette faille, NDLR]. Mais il faut aussi s'assurer que la méthode aléatoire du patch ne soit pas inhibée par un serveur ou un pare-feu.
La translation de port, par exemple, peut réduire à néant les bénéfices du patch. Dans la mesure du possible, il faut faire du One-to-one NAT [un mappage statique entre les adresses source et les adresses destination, NDLR]. On peut également envisager de sortir les serveurs DNS du réseau interne. S'ils ne sont pas ' récursifs ouverts ' et s'ils sont patchés, le risque est limité.

Ne vaudrait-il pas mieux réécrire le protocole DNS ?
Ce serait beaucoup trop compliqué vu l'adoption d'Internet aujourd'hui. C'est pourquoi au sein de l'Internet Engineering Task Force, aucun projet de refonte du DNS n'a vu le jour jusqu'à maintenant. Déployer un nouveau système DNS nécessiterait la mise à jour de tous les équipements Internet. C'est une tâche titanesque, à comparer avec l'IPv6 qui, on le voit, a beaucoup de mal à se faire une place. A ce jour, seul 0,44 % des serveurs DNS utilisent IPv6.

Donc la seule solution, c'est DNSsec ?
En effet, c'est la solution qu'il convient d'adopter aujourd'hui. Elle permet de signer électroniquement les échanges de données pendant les requêtes DNS et donc d'identifier clairement les serveurs DNS. Malheureusement, l'adoption de DNSsec est très lente. Nous avons testé près d'un million de zones Internet. Parmi elles, seules 45 utilisent DNSsec. C'est très peu.
Il faut dire que ce protocole de sécurité est assez difficile à implémenter. Les outils mis à disposition des administrateurs sont très rudimentaires. Par ailleurs, il y a un effet réseau : pour que DSNsec servent à quelque chose, il faut qu'un grand nombre de serveurs l'utilisent. En Europe, DNSsec est davantage implémenté qu'aux Etats-Unis. Des pays comme la Suède ou la Hollande sont particulièrement en avance sur ce sujet.