Vulnérabilité découverte dans le DNS, mises à jour nécessaires

Une importante vulnérabilité dans le protocole DNS a été annoncée publiquement le 8 juillet 2008, après avoir été découverte il y a six mois -laps de temps nécessaire pour mettre les "patches" au point.

Un bon résumé se trouve à cette adresse : http://securosis.com/publications/DNS-Executive-Overview.pdf.

Il faut noter que cette vulnérabilité se situe dans le protocole lui-même et pas dans une mise en œuvre particulière de celui-ci, même si des mesures peuvent être prises par certains logiciels pour limiter les risques.
On notera également que l'attaque est probabiliste, un serveur "vulnérable" peut résister à l'attaque s'il est très chanceux, un serveur "non vulnérable" peut quand même être attaqué avec succès s'il n'a pas de chance.

Cette vulnérabilité ne concerne que les serveurs DNS récursifs (communément appelés "résolveurs") et permet de leur faire accepter des réponses fausses, par exemple de leur faire croire que "fr.wikipedia.org" est au 192.0.2.66 au lieu de la vraie adresse IP.
Elle permet ainsi de rediriger tout trafic qui n'est pas protégé cryptographiquement (le trafic SSH ou bien TLS, par exemple HTTPS, est ainsi, a priori, en sécurité, à condition que les utilisateurs tiennent compte des avertissements envoyés par leur logiciel).

Elle ne concerne donc pas les serveurs de noms de la zone fr, serveurs qui font autorité pour la zone. Les autres serveurs faisant autorité ne sont pas non plus touchés s'ils ont coupé la récursion.

En revanche, tout gérant de serveur récursif doit mettre à jour d'urgence son logiciel, vers une version non vulnérable. Les résolveurs les plus répandus (tels que BIND ou bien le résolveur Microsoft) étaient vulnérables (des logiciels plus rares tels que PowerDNS ou Unbound mettaient déjà en œuvre les protections qui limitent le risque). Les administrateurs DNS sont invités sans attendre à suivre les consignes des alertes de sécurité pour télécharger et installer les versions non vulnérables des logiciels DNS récursifs qu'ils utilisent.

Les "patches" qui ont été ajoutés à des logiciels tels que BIND reposent tous sur l'Internet-Draft "Measures for making DNS more resilient against forged answers", document IETF auquel l'AFNIC a beaucoup participé depuis le début (voir par exemple une présentation à la réunion IETF de Prague en mars 2007 longtemps avant que la vulnérabilité soit découverte).

À propos de l'AFNIC

Association à but non lucratif, l'AFNIC est l'organisme chargé de la gestion administrative et technique des noms de domaine .fr et .re, suffixes internet correspondant à la France et à l'Île de la Réunion.
L'AFNIC est composée d'acteurs publics et privés : représentants des pouvoirs publics, utilisateurs et prestataires de services Internet (bureaux d'enregistrement).
En savoir plus : www.afnic.fr