Détournement du NYT et de Twitter : entretien avec Stéphane Bortzmeyer

Comme nous l’avons vu plus tôt dans la matinée, plusieurs sites, dont ceux du New York Times et de Twitter, ont subi une attaque par détournement de DNS. Les conséquences étaient surtout l’inaccessibilité pendant plusieurs heures. Nous nous sommes entretenus à ce sujet avec Stéphane Bortzmeyer, architecte systèmes et réseaux, et spécialisé dans les questions de DNS.

Crédits image : Olivier Laurelli

Emails détournés et malwares : des conséquences possibles 

Hier soir, plusieurs sites ont été victimes d’un détournement DNS. La SEA (Syrian Electronic Army) a revendiqué l’attaque, qui consistait à faire pointer les URL vers d’autres adresses IP. Un détournement rendu possible par une faille de sécurité vers un revendeur de bureau d’enregistrement lié au registrar australien Melbourne IT. Les conséquences, autres que l’inaccessibilité, n’étaient pas foncièrement graves pour les sites touchés, mais auraient pu l’être davantage.

Pour comprendre les rouages d’une telle attaque, nous nous sommes entretenus avec Stéphane Bortzmeyer. Nous avons en particulier souhaité savoir dans quelles proportions les conséquences de ces détournements auraient pu être plus graves que celles constatées. Il a ainsi confirmé la crainte du directeur de l’information du New York Times, Marc Frons : « Comme l’ensemble du domaine du New York Times était pris, cela aurait pu toucher les relais de courrier et donc permettre le détournement des emails. Pour les gens qui écrivaient au New York Times, le courrier aurait pu arriver à un endroit choisi par l’attaquant » affirme Stéphane Bortzmeyer.

Mais une autre menace aurait également pu planer sur les sites visés : « L’autre possibilité aurait été de mettre sur les sites des malwares, des logiciels malveillants qui s’installent tout seuls en profitant d’une faille du navigateur. À partir du moment où l’on contrôle un nom de domaine, on peut faire des tas de choses » confirme ainsi l’architecte système. Et les conséquences peuvent aller encore plus loin : « La plupart des autorités de certifications acceptent de vous délivrer un certificat si vous pouvez recevoir un courrier adressé à ce domaine. Cela permet à un attaquant de recevoir un certificat valide qui peut ensuite être utilisé. Donc même en se servant de Https, on ne serait pas protégé ».

Une fois le domaine contrôlé, « on n’est limité que par son imagination » 

Stéphane Bortzmeyer indique cependant que le cas de Twitter est un peu particulier, parce que si le nom de domaine est bien « passé sous contrôle de la SEA, puisqu’ils ont changé les informations de contact », les DNS n’ont a priori pas été changés. Si cela avait été le cas, les conséquences n’auraient pas nécessairement été dramatiques, car la plupart des accès se font au travers des clients tiers, et donc de l’API Twitter. « Il est plus dur de faire un faux Twitter, et c’est peut-être pour ça que la SEA ne l’a pas fait » envisage ainsi Bortzmeyer. Il émet l’idée qu’un verrou supplémentaire aurait pu être mis en place sur le nom de domaine. Car l’expert indique clairement qu’une fois « le nom de domaine contrôlé, on n’est limité que par son imagination ».

Actuellement, il reste très difficile de dire ce qui s’est vraiment passé du côté de Melbourne IT : « Le problème c’est qu’on peut voir publiquement quel est le bureau d’enregistrement d’un nom de domaine, donc on sait que New York Times, Huffington Post, Twitter utilisaient le même, Melbourne IT. Par contre, on n’a pas accès au revendeur, donc on ne peut pas vérifier si c’était le même ». Un flou qui nous a amené naturellement à une question plus complexe : que pourrait-on faire pour éviter que ce genre de situation ne se reproduise ?

Des bonnes pratiques de sécurité aux changements d'architecture 

Selon Stéphane Bortzmeyer, il existe bien des méthodes pour se prémunir, « à court terme et à long terme ». À court terme d’abord, l’idée est simple : « Les bonnes pratiques de sécurité. Donc des mots de passe difficiles et des authentifications à deux facteurs », tout en soulignant que cette dernière est très pénible : « Si l’on perd l’un des deux facteurs, on perd tout. Il n’y a pas de sécurité gratuite ». Il regrette tout de même que la compétition sur les bureaux d’enregistrement se fasse sur le prix ou encore la publicité, mais pas sur la sécurité, qui « ne paye pas ».

C’est à plus long terme cependant que les choses se corsent vraiment : « On pourrait réfléchir à des changements d’architecture car la complexité est l’ennemi de la sécurité. Le fait qu’il y ait le registre, le bureau d’enregistrement, le revendeur de bureau d’enregistrement, on pourrait se demander si ce n’est pas un trop grand nombre d’acteurs. Et qui dit multiplicité des acteurs dit plus dur de faire l’audit, plus dur de vérifier la sécurité, plus dur d’établir la responsabilité ».

Simplicité ou sécurité, il faut choisir 

Et on retombe très vite dans la complexité de la méthode à utiliser, notamment si l’on voulait mettre en place une protection supplémentaire : « On pourrait également imaginer un système de verrouillage du nom de domaine au niveau du registre, c’est-à-dire d’avoir la possibilité de dire qu’un domaine donné ne pourrait être modifié qu’à travers une procédure lourde, contraignante et avec des vérifications ».

Une complexité motivée par des raisons évidentes mais qui pourrait par la suite être remise en question dans le cas où des modifications urgentes devraient être réalisées. L’architecte illustre d’ailleurs très clairement le propos : « C’est quelque-chose que l’on voit actuellement dans l’industrie des noms de domaine pour des changements de propriétaires ou de bureaux d’enregistrement. Quand ces changements sont très faciles, il y a des détournements, et quand ils sont très difficiles, les gens râlent sur Twitter en critiquant l’aspect bureaucratique ».

En définitive, les solutions existent, mais amèneraient à repenser le modèle actuel pour diminuer le nombre d’intermédiaires et donc le nombre de failles potentielles. En attendant, garder en tête les bonnes pratiques de sécurité devrait rester primordial.