Selon un expert en technologie DNS : Cricket Liu (Infoblox)
Est-ce que la mégafaille DNS de cet été est désormais un problème résolu dans le monde d’Internet ?
Cricket Liu : Malheureusement non. Nous venons justement de réaliser, en octobre 2008, une étude sur les serveurs DNS. Sur les 11,9 millions de serveurs existants, 44 % répondent à des requêtes dites « récursives ouvertes », c’est-à-dire que n’importe qui peut les interroger sur des adresses DNS. Ce qui constitue déjà un risque en soi.
Parmi ces serveurs déjà fragilisés, le quart d’entre eux n’appliquent pas le patch de Dan Kaminsky. Ce correctif complique la tâche aux pirates en introduisant un choix aléatoire du numéro de port dans les requêtes DNS. Au final, cela représente donc plus d’un million de serveurs qui ne sont pas protégés vis-à-vis de la faille de cet été. C’est encore beaucoup trop. Il reste encore du pain sur la planche.Cette faille a-t-elle déjà servi pour des actes de piraterie ?
Elle a servi dès le jour de sa publication. Cela a été relevé dans des rapports de sécurité. Mais il très difficile d’évaluer l’étendu du problème. On ne peut pas ausculter tous les serveurs DNS pour voir s’ils sont corrompus ou non. Ce serait comme chercher une aiguille dans une botte de foin.
Mais le danger est réel. Grâce à cette faille, les hackers malintentionnés peuvent, par exemple, détourner le trafic e-mail ou usurper le nom de sites Internet.
…
Ne vaudrait-il pas mieux réécrire le protocole DNS ?
Ce serait beaucoup trop compliqué vu l’adoption d’Internet aujourd’hui. C’est pourquoi au sein de l’Internet Engineering Task Force, aucun projet de refonte du DNS n’a vu le jour jusqu’à maintenant. Déployer un nouveau système DNS nécessiterait la mise à jour de tous les équipements Internet. C’est une tâche titanesque, à comparer avec l’IPv6 qui, on le voit, a beaucoup de mal à se faire une place. A ce jour, seul 0,44 % des serveurs DNS utilisent IPv6.Donc la seule solution, c’est DNSsec ?
En effet, c’est la solution qu’il convient d’adopter aujourd’hui. Elle permet de signer électroniquement les échanges de données pendant les requêtes DNS et donc d’identifier clairement les serveurs DNS. Malheureusement, l’adoption de DNSsec est très lente. Nous avons testé près d’un million de zones Internet. Parmi elles, seules 45 utilisent DNSsec. C’est très peu.
Il faut dire que ce protocole de sécurité est assez difficile à implémenter. Les outils mis à disposition des administrateurs sont très rudimentaires. Par ailleurs, il y a un effet réseau : pour que DSNsec servent à quelque chose, il faut qu’un grand nombre de serveurs l’utilisent. En Europe, DNSsec est davantage implémenté qu’aux Etats-Unis. Des pays comme la Suède ou la Hollande sont particulièrement en avance sur ce sujet.