Archives par mot-clé : DNSSEC

Sécurisation des serveurs DNS : un potentiel problème le 8 mars ?

Le 8 mars 2012 plusieurs millions d’internautes pourraient être privés d’Internet. Afin d’éradiquer le cheval de Troie DNSChanger, le FBI devrait désactiver plusieurs serveurs DNS. Point d’annonce officielle de l’agence. La nouvelle de cette hypothétique coupure du Net se répand pourtant sur la Toile.
L’origine de cette histoire remonte à plusieurs mois. En novembre 2011, l’agence américaine prend le contrôle de plusieurs serveurs DNS corrompus. Un serveur DNS sert à établir une correspondance entre l’adresse IP d’un site, et l’URL (du type www.01net.com) effectivement tapée par un internaute dans son navigateur. En contrôlant ce genre de serveur, des pirates peuvent « rerouter » les internautes vers des sites frauduleux ou encore interférer dans les échanges entre la machine et le serveur. Pour rediriger les internautes vers ces serveurs DNS corrompus, les « criminels ont utilisé un logiciel malveillant appelé DNSChanger (EDIT 2017 : lien rompu). Ils l’ont utilisé pour modifier les paramètres de l’utilisateur et remplacer le bon serveur DNS du fournisseur d’accès à Internet vers un mauvais serveur DNS aux mains des pirates », explique le FBI sur son site internet.
Beaucoup de si…

Afin de ne pas supprimer l’accès à Internet à des millions d’ordinateurs infectés par le cheval de Troie, le FBI a remplacé les serveurs DNS corrompus par d’autres. Reste que cette mesure devait être temporaire. Elle devait laisser le temps aux particuliers et aux entreprises contaminés de changer les paramètres de connexions de leurs ordinateurs. Un tribunal avait fixé la date butoir au-delà de laquelle les serveurs DNS devaient être définitivement déconnectés au 8 mars. L’échéance approche… et de nombreux ordinateurs seraient encore infectés. Si tel est le cas, et si le FBI déconnecte les serveurs DNS en question, alors effectivement des internautes seront privés de connexion réseau.

Pour pallier une telle mésaventure, le FBI publie la liste des adresses IP des serveurs concernés :
85.255.112.0 à 85.255.127.255
67.210.0.0 à 67.210.15.255
93.188.160.0 à 93.188.167.255
77.67.83.0 à 77.67.83.255
213.109.64.0 à 213.109.79.255
64.28.176.0 à 64.28.191.255

Le FBI rappelle que les connexions haut débit utilisent des adresses IP dynamiques. Celles habituellement assignées aux ordinateurs connectés à domicile sont comprises entre 192.168.1.2 et 192.168.1.254, celles de leurs routeurs et de leurs serveurs DNS sont du type 192.168.1.1.

Pour vérifier une possible infection des machines, des formulaires ont été mis en place par l’agence gouvernementale ou d’autres sites Internet. En cas d’infection avérée, la marche à suivre est indiquée.

Modification de Mai 2017 : Joel Stephens m’informe que le lien sur le site du FBI concernant le PDF sur DNS Changer est rompu. Il vous propose de vous reporter à cet article publié récemment par John D Watson de Comparitech sur le malware DNS Changer et comment s’en protéger (en anglais).

Lire l’article sur : 01net

Arrivée du DNSSEC en France


Aujourd’hui, c’est deux articles pour le prix d’un !
En effet et toujours dans le registre de la sécurité, j’apprends que DNSSEC est enfin en cours de déploiement en france et devrait se terminer fin 2010 sur les serveurs racines pour les domaines en .fr et en .re (réunionnais). Cf mon article de novembre 2009.

Pour mémoire, le protocole DNS (Domain Name Service) est celui qui est en charge de résoudre un nom de domaine en une adresse IP. Hors, justement, ce système a été attaqué en 2008 en exploitant une faille du protocole Continuer la lecture de Arrivée du DNSSEC en France

DNSSEC sur les serveurs racine de l’Internet

 

DNS C’est parti ! L’Icann, l’organisme qui gère les noms de domaine, et l’opérateur VeriSign ont décidé de mettre les bouchées doubles dans l’implémentation du protocole DNSSEC (DNS Security Extensions) avec, à la clé, une feuille de route précise pour le déploiement sur les serveurs racine. Ensuite, Verisign implémentera ce protocole sur les domaines .com et .net, dont il est responsable.

DNSSEC est un protocole qui, grâce à un système de signature électronique, permet de vérifier l’authenticité de la réponse d’un serveur DNS. Son fonctionnement est hiérarchique. Chaque serveur d’une zone DNS (.fr, .com, inria.fr, etc.) disposera d’une paire de clés de signature à chiffrement asymétrique, appelée Zone Signing Keys (ZSK). L’une des clés est publique, l’autre privée. Cette dernière sert à signer les données DNS que délivre le serveur de zone. Un client DNS qui reçoit une réponse signée d’un de ces serveurs pourra déchiffrer la signature au moyen de la clé publique et vérifier, ainsi, la provenance et l’intégrité des données.

Pour autant, ce système de clés ne permet pas de savoir à 100 % si le serveur lui-même est réellement digne de confiance : un usurpateur pourrait se substituer à lui et diffuser ses propres ZSK. C’est pourquoi les serveurs de zone disposent d’une deuxième paire de clés asymétriques. Appelées Key Signing Keys (KSK), elles servent à signer les ZKS des zones inférieures (01net.com, afnic.fr, etc.), créant ainsi une chaîne de confiance sur l’ensemble des URL. Un navigateur n’obtiendra la confiance d’une zone de niveau n (01net.com), que s’il a obtenu la confiance des zones de niveau supérieur (.com).

Une paire de clés maître pour sécuriser tout l’Internet

Continuer la lecture de DNSSEC sur les serveurs racine de l’Internet

Plus d’un million de serveurs DNS ne sont toujours pas protégés

Selon un expert en technologie DNS : Cricket Liu (Infoblox)

DNS Est-ce que la mégafaille DNS de cet été est désormais un problème résolu dans le monde d’Internet ?

Cricket Liu : Malheureusement non. Nous venons justement de réaliser, en octobre 2008, une étude sur les serveurs DNS. Sur les 11,9 millions de serveurs existants, 44 % répondent à des requêtes dites « récursives ouvertes », c’est-à-dire que n’importe qui peut les interroger sur des adresses DNS. Ce qui constitue déjà un risque en soi.

Parmi ces serveurs déjà fragilisés, le quart d’entre eux n’appliquent pas le patch de Dan Kaminsky. Ce correctif complique la tâche aux pirates en introduisant un choix aléatoire du numéro de port dans les requêtes DNS. Au final, cela représente donc plus d’un million de serveurs qui ne sont pas protégés vis-à-vis de la faille de cet été. C’est encore beaucoup trop. Il reste encore du pain sur la planche.

Cette faille a-t-elle déjà servi pour des actes de piraterie ?

Elle a servi dès le jour de sa publication. Cela a été relevé dans des rapports de sécurité. Mais il très difficile d’évaluer l’étendu du problème. On ne peut pas ausculter tous les serveurs DNS pour voir s’ils sont corrompus ou non. Ce serait comme chercher une aiguille dans une botte de foin.

Mais le danger est réel. Grâce à cette faille, les hackers malintentionnés peuvent, par exemple, détourner le trafic e-mail ou usurper le nom de sites Internet.

Continuer la lecture de Plus d’un million de serveurs DNS ne sont toujours pas protégés

DNSSEC – le DNS sécurisé

DNSDNSSEC a été créé il y a dix ans pour éviter la corruption des données et l’usurpation d’identité au sein du système DNS. En effet, chaque navigation Internet fait intervenir des requêtes DNS pour traduire les noms des sites Web en adresses IP. Cela se fait de manière récursive et hiérarchique : quand un serveur de nom d’un sous-domaine ne sait pas répondre, il se réfère aux serveurs du domaine supérieur qui fera de même. Pour un hacker, les occasions d’intercepter les données et de les modifier sont donc nombreuses. DNSSEC propose d’assurer l’intégrité des informations fournies par l’ajout, à chaque échange, d’une signature chiffrée qui va authentifier le serveur de nom. Et le tour est joué.

Seulement voilà, l’implémentation de DNSSEC est loin d’être simple. Tout d’abord, l’adjonction d’une signature chiffrée nécessite des paquets DNS de plus grande taille. Il faut donc utiliser le protocole Extended DNS. « Mais seuls 40 % des "resolvers" [logiciels client pour la traduction DNS, NDLR] supportent actuellement EDNS », explique Raphaël Marichez, consultant sécurité chez Hervé Schauer Consultants.

Le ticket d’entrée est élevé

La signature fait également augmenter sensiblement le trafic réseau et ajoute des temps de calcul. Par ailleurs, DNSSEC suppose la mise en place d’une véritable architecture PKI, ce qui est complexe et coûteux. Enfin, pour que la sécurité soit vraiment assurée, il faudrait installer la technologie dans tous les pays et à tous les niveaux, du serveur DNS dans l’entreprise aux serveurs racines.

Ces différents obstacles expliquent pourquoi, en l’espace d’une décennie, les déploiements DNSSEC sont encore peu nombreux. A ce jour, seuls quatre pays ont implanté ce protocole de sécurité : la Suède, la Bulgarie, le Brésil et Porto Rico. « D’un point de vue économique, le déploiement de DNSSEC à grande échelle ne se justifie pas », poursuit Raphaël Marichez.

En savoir plus sur : 01net

Mots clés Technorati : ,,,,