Passer au contenu

On a frôlé le chaos sur Internet

Une faille de sécurité aurait pu faire perdre les pédales au réseau Internet à cause des fameux DNS.

‘ Un problème de sécurité a été identifié. Ce problème pourrait permettre à une personne malveillante de falsifier une action système ou un comportement à l’insu des utilisateurs de systèmes Microsoft Windows. ‘ Nous sommes le 8 juillet. Microsoft vient de mettre à disposition des utilisateurs de Windows une mise à jour de sécurité destinée à parer une catastrophe mondiale ?” le mot n’est pas trop fort.De quoi s’agit-il exactement ? Ce que les spécialistes de la sécurité sur Internet nomment, avec appréhension, ‘ The Big One ‘, est une faille suffisamment grave pour provoquer l’effondrement de l’ensemble du système bancaire mondial.Au c?”ur du problème, le système DNS, un mécanisme logiciel qui est présent sur la plupart des équipements reliés à Internet, depuis votre PC jusqu’aux plus gros serveurs, quel que soit le système d’exploitation utiliséIl paraît qu’on a récemment frôlé la catastrophe à cause de vous. On n’exagère pas un peu ?DNS : Jugez vous-même : demain, vous consultez votre compte bancaire sur le Web, ce qui vous oblige à saisir votre identifiant ?” votre numéro de compte, par exemple ?” et votre mot de passe. Vous en avez l’habitude, le site est bien celui de votre banque, l’adresse, par exemple www.mabanque.fr, vous est familière. Le hic, c’est que l’ensemble n’est pas hébergé par votre banque, mais par un serveur pirate ! Vous vous êtes fait hameçonner, pour reprendre la traduction française du terme phishing. Vous venez donc de fournir à des mains malveillantes de quoi vider entièrement vos comptes.Comment est-ce possible ?DNS : C’est un peu de ma faute, à moi, le DNS, pour système de noms de domaine. Je suis une sorte d’annuaire que vous utilisez chaque fois que vous saisissez une adresse dans votre navigateur. Si vous me dites www.google.fr, je traduis cette adresse par 209.85.135.104. Vous voyez que cette adresse, connue sous le nom d’adresse IP, est composée de quatre groupes de nombres séparés par des points. Et c’est la seule utilisable par les ordinateurs pour se connecter à un site Web. La faille qui a été découverte aurait permis à des pirates de faire correspondre www.google.fr à une autre adresse IP. Sans vous en douter, vous vous seriez connecté à un site ayant l’apparence de Google, mais l’apparence seulement !Mais vous n’effectuez pas de contrôle ?DNS : Si, mais les tables auxquelles je me réfère ne sont pas centralisées sur un seul serveur dans le monde. Elles sont aussi présentes sur des centaines de milliers de serveurs et de routeurs partout sur la Toile, jamais dans leur intégralité, et il y en a même des extraits sur votre PC. Même les serveurs racines sur lesquels je suis installé, et qui ne sont qu’au nombre de treize pour toute la planète, ne contiennent qu’une petite partie de mes tables.Alors à quoi servent-ils, ces serveurs racines ?DNS : Quand vous demandez à vous connecter à www.mabanque.fr, votre PC interroge un serveur de DNS. Si celui-ci ignore la réponse, il s’adresse à un serveur racine. Mais celui-ci ne connaît pas non plus la réponse. Ce qu’il sait, en revanche, c’est à quel serveur il faut demander les adresses IP des adresses qui se terminent par ‘ .fr ‘, comme celle de votre banque. Le serveur de DNS de votre FAI pose donc la même question au serveur en charge des ‘ .fr ‘. Mais celui-ci ne connaît pas la réponse puisqu’il s’occupe uniquement des ‘ .fr ‘ et pas des ‘ mabanque.fr ‘. En revanche, il sait à quel serveur il faut poser la question et fournit cette information au serveur de DNS interrogé en premier ; il obtient finalement la bonne adresse IP.On ne pouvait pas faire plus simple ?DNS : L’intérêt de distribuer les responsabilités sur de nombreux serveurs est que si l’un tombe en panne, il y en aura toujours un autre pour répondre. Par ailleurs, si toutes mes tables étaient concentrées sur une seule machine, le trafic sur cette machine serait énorme, uniquement pour obtenir des adresses IP.Mais de toute façon, les serveurs racines sont sollicités à chaque demande, non ?DNS : Pas nécessairement. D’abord, le serveur de votre fournisseur d’accès à Internet peut déjà avoir la réponse. Vous vous doutez bien que vous n’êtes pas le premier à taper www.google.fr dans la barre d’adresse de votre navigateur. Il a déjà répondu à la question des centaines de milliers de fois et conserve la réponse en mémoire, justement pour ne pas avoir à remonter aux serveurs racines. Cette mémoire s’appelle le cache DNS. Et c’est justement là que la faille a été détectée.Dans le cache DNS ?DNS : Exactement. Et je vous ai parlé du cache DNS du serveur de votre FAI, mais tous les serveurs de DNS ont un cache, ce qui évite que les demandes d’adresses IP passent de serveur en serveur et génèrent un trafic inutile. En effet, il faut savoir qu’un gros serveur de DNS peut recevoir 10 000 requêtes par seconde. Or, à cause de la faille qui a été révélée récemment, il est possible de corrompre le cache d’un serveur de DNS. On appelle cela l’empoisonnement de cache DNS.Quel en est le principe ?DNS : Quand un ordinateur fait une demande d’adresse IP à un serveur de DNS, chaque requête contient un identifiant, généré de manière aléatoire, qui permet de faire correspondre la réponse lorsqu’elle est reçue. Si un attaquant peut deviner cet identifiant, il peut alors renvoyer sa propre réponse et ainsi diriger l’ordinateur demandeur sur un site pirate.Comment s’est-on aperçu qu’il y avait une faille ?DNS : C’est Dan Kaminsky, le directeur des tests d’intrusion chez IOActive, une société de conseil spécialisée dans la sécurité informatique, qui a tiré la sonnette d’alarme. Il a ensuite contacté un certain nombre de fournisseurs majeurs d’infrastructures et de logiciels pour Internet, lesquels se sont mis autour de la table pour mettre au point le plus rapidement possible une défense.Et depuis que des correctifs ont été appliqués, je ne risque plus rien ?DNS : Plus rien, c’est beaucoup dire. Le système des DNS n’est toujours pas infaillible, mais disons que cette faille était assez facile à exploiter. Si vous voulez savoir si votre FAI ou, plus généralement, si le serveur de DNS dont vous dépendez a fait le nécessaire pour se prémunir d’une attaque, vous pouvez vous aller sur www.doxpara.com. Sur la page d’accueil, vous trouverez un bouton Check my DNS (vérifiez mon DNS). Cliquez dessus et voyez si le serveur de DNS que vous utilisez est vulnérable ou pas. Quant à votre ordinateur, il a reçu un programme correctif dans la semaine du 8 juillet dernier si vous avez laissé Windows télécharger et installer ses mises à jour.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Maslo