Recherche

Rubriques

Derniers articles

La faille DNS révélée

publié le 22 juillet 2008 dans la catégorie : Actualités

Mise à jour : il ne sera peut-être pas nécessaire d'attendre la conférence de Dan Kaminsky en août pour connaître les détails de la fameuse faille DNS annoncée début Juillet. Une analyse indépendante publiée lundi, puis promptement retirée, semble avoir mis le doigt sur le problème. Kaminsky confirme à demi mot.

Halvar Flake, chercheur allemand, faisait savoir lundi sur son blog qu'il estimait, contrairement à Kaminsky, qu'il était nécessaire de parler publiquement de cette faille. Il semblait avoir correctement deviné la nature du problème et n'était visiblement pas le seul : le même jour, la société Matasano emboîtait le pas en publiant une analyse technique détaillée sur son blog, correspondant exactement aux informations officielles. L'analyse a été rapidement retirée (Matasano affirme qu'elle a été publiée par erreur), mais trop tard pour qu'il n'en reste aucune trace sur le Web - une simple recherche Google permet d'en retrouver de nombreuses copies.

La réaction de Kaminsky fut brève mais explicite : « Patch. Today. Now. Yes, stay late. (...) They’re ready for your traffic. » (en substance : « Patchez, ils arrivent ! »). Autrement dit, il confirme que sa technique a bel et bien été publiquement révélée. Il ne s'agit donc plus qu'une question d'heures avant que beaucoup de personnent s'y essayent.

Comment ça marche ?

En résumé, la technique décrite par Matasano repose sur plusieurs astuces ; il s'agit essentiellement de (1) provoquer un grand nombre de requêtes DNS vers un sous domaine inexistant (fkeufow.example.com, fkeufox.example.com, etc.), (2) tenter de répondre à ces requêtes en se faisant passer pour le serveur DNS officiel (ce qui est possible en pratique si le nombre de requêtes est élevé), (3) inclure dans la réponse des informations sur un sous domaine existant que l'on veut détourner (ici www.example.com) - elles seront prises en compte et mises en cache avec un peu de chance ou de persévérence.

Le point 2 est possible à cause d'une faiblesse dans le procédé d'authentification du protocole, et le point 3 à cause d'une faiblesse dans l'implémentation des logiciels utilisés majoritairement par les serveurs. Ce sont les deux problèmes principaux que des armées d'administrateurs système s'évertuent à corriger depuis plusieurs jours, de part et d'autre de la planète.

Mise à jour 24.7.08 : l'attaque à définitivement été publiée par H.D. Moore le 23 juillet, sous la forme d'un outil relativement accessible.