Le trou de l’Internet
Cette semaine j’ai lu un article assez intriguant dans l’excellent Wired. Il y a trois ans, un consultant en sécurité informatique, Dan Kaminsky, a découvert une faille dans l’architecture même d’Internet lui permettant de faire tomber tout le web à lui tout seul. La faille se trouvait plus précisément dans la conception des DNS.
Lorsque vous tapez une adresse web dans votre navigateur, celle-ci est transmise à votre fournisseur d’accès. Si l’IP du serveur associé au nom de domaine n’est pas en cache, alors votre FAI effectuera une recherche en envoyant des requêtes avec un ID sécurisé. Si le serveur finit par répondre avec le bon ID, alors l’adresse est mise en cache et vous pouvez accéder au site. L’astuce découverte consistait à envoyer des requêtes pour des faux sous-domaines, puis à envoyer des milliers de fausses réponses avec un ID aléatoire. Eventuellement, on finit tomber sur un bon ID, et le FAI accepte donc la nouvelle adresse en remplacement de l’ancienne.
Dan Kaminsky aurait pu ainsi rediriger tous les noms de domaines du monde entier sur sa machine, et récupérer des tonnes d’informations confidentielles. Mais je vous laisse lire l’article en entier sur Wired : Secret Geek A-Team Hacks Back, Defends Worldwide Web.
L’article se termine quand même sur une citation qui fait peur : "There is no saving the Internet. There is postponing the inevitable for a little longer."
14 décembre 2008 à 12:42 Citer
J’imagine que l’ID c’est pas 1234 ou toto et qu’il est crypté …. et moi aussi théoriquement lorsque j’achète sur le net, j’ai une chance de tomber sur un bon numéro de carte bleu on le mettant au hasard …..
Et l’ID est propre au fournisseur d’accès … ?
Bon j’avoue pas avoir lu l’article à cause de la langue.
14 décembre 2008 à 12:46 Citer
Le fond est intéressant mais le ton de l’article me fait un peu penser à du Envoyé Spécial.
C’est la fin du monde §§§
14 décembre 2008 à 12:53 Citer
Pareil que Zemou, il me semble qu’il y a une faille dans ce raisonnement, si l’ID est sécurisé, tu peux essayer des milliards de combinaison sans jamais trouver la bonne.. A la limite, au bout d’une semaine de tentatives foireuses, tu fais tomber (temporairement) un site pour un FAI particulier, mais certainement pas l’intégralité d’Internet.
14 décembre 2008 à 13:08 Citer
Voila un exemple de faille de DNS, je suis Zicman et on pointe vers Zemou. oO
14 décembre 2008 à 13:21 Citer
Il y a un dossier là dessus dans le science et vie de ce mois-ci.
14 décembre 2008 à 14:01 Citer
J’avais entendu parler de ça dans les journaux(je crois que c’était pendant l’été) que Microsoft, sun et Ibm s’était alliés secretement pour corriger la faille.
Mon chargé de td de reseaux en avait aussi brièvement parler ( de la même méthode).
14 décembre 2008 à 14:11 Citer
OUf, on a échappé de peu à une deuxième catastrophe après le bug de l’an 2000 !
14 décembre 2008 à 14:36 Citer
"Il y a trois ans[...]", il ne parle pas de la meme faille DNS il me semble
14 décembre 2008 à 14:37 Citer
Ah, ça me rassure alors.
14 décembre 2008 à 14:59 Citer
Des failles de sécurité dans le DNS, on en trouve à peu près une par an… Et on en trouvera probablement encore dans 50 ou 60 ans.
"When you’ll be dead i will be still alive" The Internet
14 décembre 2008 à 15:03 Citer
Et bien justement, c’est la mauvaise implémentation des algos de cryptage et du générateur de nombre aléatoire pour cet identifiant qui fait qu’il y avait un grand danger, surtout que le soft DNS (ISC BIND) le plus utilisé était touché ! Maintenant, le problème reste entier, c’est une erreur de conception même du système DNS et les patchs qui ont été distribués ont seulement permit de diminuer la probabilité de trouver cette identifiant.
14 décembre 2008 à 15:08 Citer
Ca aurait été totalement catastrophique, je vais stocker un peu plus de munition et d’armes, en prevision.
14 décembre 2008 à 15:15 Citer
La "faille DNS" de Kaminsky était avant tout un gros montage médiatique, qui rassemblait des techniques assez connues d’attaque sur le DNS. Il a annoncé une grosse découverte et un effort concerté des acteurs du DNS pour implémenter un patch, le tout sans divulguer aucun détail, ce qui a alimenté le buzz pendant 2 mois avant la conférence de sécurité Blackhat, où il a été "récompensé" pour le meilleur buzz infondé de l’année par un Pwnie Award 2008 :)
Il faut savoir que la communauté de la recherche en sécurité est de plus en plus académique, le peer-review est plus que jamais important. Ce qu’il a fait, c’est l’équivalent pour un labo d’aller parler de ses dernières découvertes à la presse généraliste avant de publier en presse spécialisée… pour au final se faire basher par celle-ci.
A sa décharge, il a quand même réussi à faire bouger des éléphants du net pour renforcer la sécurité du système DNS.
14 décembre 2008 à 15:27 Citer
14 décembre 2008 à 16:52 Citer
It will be the end of the world…. of INTERNET !
14 décembre 2008 à 18:37 Citer
Bon ben, plus qu’à se faire une petite liste d’adresses IP afin d’éviter d’arriver sur un site de boules gay en tapant nofrag.com
14 décembre 2008 à 22:57 Citer
HO NOZ§§