Une faille très sérieuse dans le protocole DNS (Domain Name System) a été découverte, plus tôt dans l’année, par Dan Kaminski de IOActive. Ce dernier a alors averti les autorités américaines, notamment la défense nationale, puis a ensuite travaillé à organiser, parmi les entreprises concernées, la sortie synchronisée de patchs pour tous les logiciels et systèmes d’exploitation qui pourraient être touchés.La faille, révélée depuis quelques heures, est dans la conception même du protocole DNS. Pour rappel, ce dernier est un système permettant d'établir une correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d'un nom de domaine. L’importance de la faille permet théoriquement à un utilisateur malintentionné de venir modifier les données du cache sur le serveur (« cache poisoning ») et donc de potentiellement rediriger tous les sites vers d’autres destinations. On imagine sans mal les risques d'un tel processus pour les sites ultra-sensibles comme les sites de banques, pour ne citer qu'eux.
Une pluie de correctifs
Une majorité des éditeurs impliqués dans la correction de la faille, dont Microsoft, a déjà lancé une série de correctifs pour un nombre important de systèmes d’exploitation et de logiciels. Tous ces correctifs sont déjà disponibles de manière automatique. Le but était d’attendre une sortie synchronisée pour minimiser les risques de retour de flamme après la publication des mises à jour, bien que le reverse engineering ne soit, dans ce cas, pas directement possible.
Il s’agit du lancement synchronisé le plus important de l’histoire de l’informatique. Jamais auparavant autant d’acteurs ne s’étaient entendus sur une solution commune, tout en gardant un silence de plomb sur l’étendue du problème, ainsi que ses détails. Ces derniers seront d’ailleurs révélés par Dan Kaminski lors de la prochaine conférence Black Hat, le 6 août. Selon lui, le danger n’est pas chez les particuliers, qui bénéficient en majeure partie de mises à jour automatiques, mais chez les FAI et toutes les entreprises impliquées ou non dans le fonctionnement d’Internet.
Pas d'exploitation à ce jour
Il n’y a, à ce jour, aucune preuve d’une quelconque attaque qui aurait profité de cette faille. Il faut par ailleurs noter que Dan Kaminski a mis en ligne un test qui permet de vérifier rapidement si tel ou tel serveur est vulnérable. Dans le cas de Microsoft, le correctif est publié dans les mises à jour qui sont apparues cette nuit, et dont le descriptif sera publié sous peu dans nos colonnes. On pourra également consulter l'avis du CERT-US sur ce thème.
