pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Faille de sécurité de grande envergure

Jeudi 24 juillet 2008

C'est une première.

Une faille de sécurité informatique de grande envergure concernant les DNS a été corrigée. Les DNS, c'est ce qui permet de convertir une adresse (www.commentcamarche.net) en adresse IP (194.169.240.130).

Le risque ? Permettre à des pirates de vous rediriger vers le site de leur choix au lieu de celui - par exemple - de votre banque (ou tout autre site). Autrement dit la possibilité de piquer des mots de passe et un piratage à grande échelle.

Cette faille a été gardée secrète prendant des mois, et tous les acteurs du marché ont travaillé de concert pour corriger ça: Fabricants de matériel réseau (Cisco, Alcatel, Linksys...), éditeurs de logiciels et de systèmes d'exploitation (Microsoft, Apple...), fournisseurs d'accès...

Il semble que la faille était assez complexe à corriger, d'où le secret. Par contre, il est assez étonnant que tout ceci n'ait pas filtré étant donné le nombre important d'acteurs impliqués: Même les projets opensource tel que Linux ont joué le jeu en gardant le secret et en participant à la correction.

On était au bord d'un immense bordel mondial.

Suis-je en danger ?

Si vous utilisez les mises à jour automatiques de votre système d'exploitation (par exemple WindowsUpdate sous Windows), vous devriez être en sécurité. Pour tester, il y a le bouton "Check my DNS" dans cette page.

Si vous avez un doute ou que la correction n'est pas possible, passez sous OpenDNS. Et oui, encore une fois bravo OpenDNS: Ils sont depuis le début insensibles à cette faille. Si vous utilisez déjà OpenDNS, vous êtes en sécurité depuis le début. Décidément, je les aime bien.

(Merci aux internautes qui m'ont signalé l'affaire.)

Mise à jour 28 juillet 2008: Il semblerait que seulement la moitié des serveurs DNS soient patchés. Il est tout à fait possible que votre Fournisseur d'accès n'ait pas fait le nécessaire. Dans ce cas, passez vite à OpenDNS. Le danger est réel. En exploitant la faille dans le serveur DNS d'un fournisseur d'accès, des pirates pourraient détourner des sites web pour tous les clients d'un FAI d'un coup. Par exemple détourner www.ebay.fr vers un site pirate, sans que cela soit visible.

Mise à jour 7 août 2008: Je n'avais peut-être pas insisté sur le point, mais cette attaque permet de détourner un nom de domaine. Cela ne concerne donc pas seulement le surf sur le web, mais tous les protocoles. Ainsi, si un FAI n'a pas corrigé cette faille sur ses DNS, il est potientielleemnt possible de détourner et lire tous les emails envoyés par les clients de ce FAI. Et utiliser OpenDNS ne protègera que votre ordinateur, pas les serveurs de mail de votre FAI.
Je pense que dans quelques semaines, on va voir apparaître plusieurs cas de piratage ou détournement, parcequ'il y a encore un certain nombre de FAI ou d'entreprises qui n'ont pas encore corrigé. Vous imaginez, tous les emails d'une entreprise détournés ?

Voir tous les billets