06
Août 05

300.000 serveurs DNS vulnérables à  des attaques par « cache poisoning »

06 août 2005 | Non classé

Dans ce type d’attaques, les pirates modifient le contenu de la mémoire cache des serveurs de noms de domaines pour rediriger les internautes vers des sites piégés. Selon un expert en sécurité, un grand nombre de machines doit étre mis à  jour.

Au coeur du fonctionnement de l’internet, les serveurs DNS (systêmes de noms de domaines) ne sont pas suffisamment sécurisés. Nombre d’entre eux seraient des proies faciles pour des attaques, a prévenu Dan Kaminsky, spécialiste indépendant de la sécurité informatique, intervenant lors des conférences Black Hat, la semaine derniêre à  Las Vegas.

Entreprises et fournisseurs de services internet exploitent les 9 millions de serveurs DNS dans le monde pour traduire des adresses internet (URL) en adresses IP numériques. Aprês en avoir scanné 2,5 millions à  l’aide d’une connexion haut débit, Kaminsky a établi qu’environ 300.000 de ces machines seraient vulnérables en cas d’attaque de type cache poisoning. «Si vous n’étes pas en train de contrà´ler vos machines, faites-le dês maintenant», a-t-il recommandé.

Lors d’une telle attaque, les pirates s’en prennent au cache des serveurs. Ils remplacent les adresses IP de sites web souvent demandés, par les adresses de faux sites. Les internautes sont redirigés vers ces sites, o๠ils peuvent étre invités à  fournir des informations sensibles. Des programmes malveillants peuvent également étre téléchargés à  leur insu sur leur machine.

BIND versions 4 et 8 à  mettre à  niveau

Ces serveurs exécutent les versions 4 ou 8 du logiciel BIND (Berkeley Internet Name Domain). L’ISC (Internet Software Consortium), qui le distribue gratuitement, alerte sur son site d’une «attaque de corruption de cache DNS perpétrée à  grande échelle», et demande de mettre à  niveau les serveurs DNS vers BIND 9. Ce que préconise également Kaminsky.

Ils sont vulnérables s’ils sont configurés pour utiliser des forwarders dans le but de traiter les requétes des internautes. Ainsi lorsqu’un serveur ne peut pas répondre parce que l’URL demandée n’est pas dans sa base de données, il transfêre la requéte à  un autre serveur répertorié dans ses listes. Lequel vérifie alors s’il conserve dans son cache les adresses internet demandées, et ainsi de suite jusqu’à  ce que le site soit trouvé.

Des millions d’internautes menacés

Une attaque par cache poisoning pourrait affecter des millions d’internautes, car chaque serveur DNS peut étre sollicité par des milliers d’ordinateurs. Les caches corrompus sont comme «des panneaux indicateurs qui conduisent au mauvais endroit», explique l’inventeur du systême de noms de domaine, Paul Mockapetris. «On a trouvé d’autres vulnérabilités dans les DNS au fil des ans, mais là  il n’y a aucun remêde, excepté la mise à  niveau.»

Dan Kaminsky, qui a scanné les serveurs DNS à  la mi-juillet, n’a pas encore identifié les organisations dont les installations sont potentiellement vulnérables. Mais il compte envoyer un e-mail à  leurs administrateurs pour les avertitr. D’autant qu’une personne malintentionnée peut facilement scanner elle-méme les serveurs vulnérables, s’alarme-t-il, si elle a les connaissances suffisantes.

En mars dernier, des pirates ont eu recours à  la technique de « cache poisoning » pour rediriger les visiteurs de sites comme Google, Ebay, CNN et MSN vers de faux sites qui leur installaient des spyware, selon l’institut américain SANS (SysAdmin, Audit, Network, Security). Il rassemble des experts en sécurité dans tous les domaines.


Les commentaires sont fermés.