50% des DNS mondiaux seraient mal configurés
Selon une étude conduite par "The Measurement Factory" pour Infoblox, un fournisseur d'appliance DNS, plus de la moitié des serveurs DNS sont configurés incorrectement et susceptibles d'être utilisés dans le cadre d'attaque à grande ampleur contre l'infrastructure DNS mondiale. Globalement, sur une échelle de notation de A à E, la sécurité du système DNS à l'échelle mondiale reçoit une note D+. Pour Rick Kagan d'InfoBlox, le rythme et la sévérité des attaques liées à des problèmes de configuration de l'infrastructure DNS a progressé au cours de l'année écoulée. L'un des problèmes principaux est que plus de la moitié des serveurs DNS permettent l'usage de services de noms récursifs. Cette forme de résolution de noms de domaines requiert souvent qu'un serveur de nom relaie la demande d'un client vers un autre serveur de nom. Selon Infoblox, ces services récursifs laisse les réseaux perméables à des attaques par empoisonnement de cache, dans lesquelles un utilisateur peut être redirigé vers un site web différent de celui qu'il cherchait à atteindre. Le problème est que par défaut, BIND 9 est configuré pour activer les services de DNS récursifs. Un autre problème courant selon Infoblox est que 29% des DNS sont configurés pour autoriser les transferts de zones vers des demandeurs arbitraires. L'étude permet aussi de disposer d'une photo du système DNS public mondial, qui compterait aujourd'hui 9 millions de serveurs (+20% sur un an) . L'essentiel de la croissance est lié à la présence de serveurs DNS embarqués dans des passerelles ou modem-routeurs. Le nombre de serveurs faisant tourner BIND 9 représente désormais 61 % du total des serveurs DNS mondiaux contre 8% en 2005. seulement 2 serveurs sur 1000 supportent IPv6 et quasiment aucun ne supporte le standard de sécurisation DNSSEC.