Serveurs DNS : sur-médiatisation d'un vieux bug ou grave menace ?
Dan Kaminsky met internet sous pression. Il affirme avoir découvert une faille des serveurs DNS permettant de mener simplement des attaques par phishing. Comme il ne révèle ses secrets qu'à de rares élus, il est fortement critiqué. Les fournisseurs de logiciels de DNS ont proposé un correctif simultanément, crédibilisant les propos de Dan Kaminsky Dan Kaminsky se trouve au centre d'une controverse après qu'il ait déclaré mardi 8 juillet 2008 avoir découvert un bug critique dans l'infrastructure internet. Il s'agit d'une faille affectant les serveurs de routage DNS (Domain Name System). En mars dernier, il avait réuni 16 entreprises qui vendent des logiciels DNS, des sociétés comme Microsoft, Cisco ou Sun Microsystems - afin de les amener à corriger le bug en question et de sortir simultanément les correctifs nécessaires. Reste que cela n'impressionne pas certains pairs de Dan Kaminsky. Ceci parce qu'il a violé une des règles de base de la divulgation d'une faille : ne pas avoir fourni les détails techniques afin de vérifier ses assertions. Dan Kaminsky est allé encore plus loin, puisqu'il a demandé aux hackers de ne pas effectuer de recherches sur le problème en attendant qu'il délivre plus d'information lors de sa prochaine présentation à la conférence Black Hat. La faille permet d'exploiter une attaque par le cache (« cache poisoning attack »). Ces attaques permettent de rediriger les internautes vers des sites Web illégitimes, copies de sites Web commerciaux. Ces attaques sont connues depuis longtemps, mais Dan Kaminisky affirme avoir découvert une manière très efficace de lancer ce type d'attaque, via une vulnérabilité dans le protocole DNS lui-même. Il affirme vouloir mettre la pression sur les professionnels de l'informatique et de l'internet afin qu'ils mettent à jour leurs logiciels de DNS, tout en tenant les hackers dans l'obscurité. Révéler tous les détails techniques mettrait internet en danger, a même déclaré Dan Kaminsky, mercredi 9 juillet. Cela a déclenché une réaction de scepticisme de la part de Thomas Ptacek, un chercheur en sécurité de la société Matasano. Il a indiqué sur son blog, que la faille de Dan Kaminsky est liée à une faiblesse connue depuis longtemps de DNS : la difficulté de créer de manière aléatoire des identifiants « uniques » de session entre machines sur internet. « Le bug c'est que le DNS possède un identifiant de session sur 16 bits. On ne peut pas déployer une nouvelle application Web avec des identifiants de moins de 128 bits. On connait tous ce problème fondamental depuis les années 90, déclare-t-il. Photo : Dan Kaminsky (D.R.) "Et voilà l'explosion d'interviews et de retombées médiatiques pour un nouveau bug sur-valorisé de Dan Kaminsky, trouve-t-on comme commentaire sur le blog de Matasano. Sur le blog SANS Internet Storm Center, un blogger suppose que le bug de Dan Kaminsky a déjà été découvert il y a trois ans. Dan Kaminsky, qui est directeur des tests d'intrusion chez IOActive, a déclaré qu'il était vaguement surpris par certaines de ces réactions négatives, mais que ce genre de scepticisme était vital à la communauté des hackers. « je transgresse les règles. Il n'y a pas assez d'information pour comprendre l'attaque, admet-il. Selon Paul Vixie, un expert de DNS, l'un des rares à avoir reçu une explication détaillée de la part de Dan Kaminsky, le bug est différent de ce qui a été révélé il y a trois ans par SANS. Bien que la faille intervienne dans le même domaine, "C'est un problème différent" affirme Paul Vixie, qui est president d'Internet Systems Consortium, l'un des fournisseurs de logiciels DNS les plus utilisés sur internet. « Le problème est urgent et devrait être corrigé immédiatement, affirme David Dagon, un chercheur sur DNS à l'université Gerogia Tech, qui a également été informé par Dan Kaminsky. « Face à de rares informations, certains se sont demandés si Dan Kaminsky n'avait pas réutilisé un vieux travail pour des attaques DNS. Mais il n'est pas réaliste de penser que les vendeurs DNS mondiaux aient réalisé des correctifs et effectué une annonce commune sur le sujet sans raison, pense-t-il. Mais à la fin de la journée, Dan Kaminsky avait même converti son plus bruyant opposant. Thomas Ptacek, de la société Matasano s'est rétracté sur son blog après que Dan Kaminky l'ait appelé pour lui expliquer par téléphone tous les détails de ses recherches. Les critiques restants de Dan Kaminsky devront attendre sa présentation du 7 août prochain à la conférence Black Hat. « Si je n'arrive pas à faire la preuve de ce que j'avance, je mériterai alors toutes les critiques et les marques de colère, conclut-il.
