Connexion
Abonnez-vous

Détournement du NYT et de Twitter : entretien avec Stéphane Bortzmeyer

Simplicité ou sécurité, il faut choisir

Détournement du NYT et de Twitter : entretien avec Stéphane Bortzmeyer

Le 28 août 2013 à 13h47

Comme nous l’avons vu plus tôt dans la matinée, plusieurs sites, dont ceux du New York Times et de Twitter, ont subi une attaque par détournement de DNS. Les conséquences étaient surtout l’inaccessibilité pendant plusieurs heures. Nous nous sommes entretenus à ce sujet avec Stéphane Bortzmeyer, architecte systèmes et réseaux, et spécialisé dans les questions de DNS.

nyt sea

Crédits image : Olivier Laurelli

Emails détournés et malwares : des conséquences possibles 

Hier soir, plusieurs sites ont été victimes d’un détournement DNS. La SEA (Syrian Electronic Army) a revendiqué l’attaque, qui consistait à faire pointer les URL vers d’autres adresses IP. Un détournement rendu possible par une faille de sécurité vers un revendeur de bureau d’enregistrement lié au registrar australien Melbourne IT. Les conséquences, autres que l’inaccessibilité, n’étaient pas foncièrement graves pour les sites touchés, mais auraient pu l’être davantage.

 

Pour comprendre les rouages d’une telle attaque, nous nous sommes entretenus avec Stéphane Bortzmeyer. Nous avons en particulier souhaité savoir dans quelles proportions les conséquences de ces détournements auraient pu être plus graves que celles constatées. Il a ainsi confirmé la crainte du directeur de l’information du New York Times, Marc Frons : « Comme l’ensemble du domaine du New York Times était pris, cela aurait pu toucher les relais de courrier et donc permettre le détournement des emails. Pour les gens qui écrivaient au New York Times, le courrier aurait pu arriver à un endroit choisi par l’attaquant » affirme Stéphane Bortzmeyer.

 

Mais une autre menace aurait également pu planer sur les sites visés : « L’autre possibilité aurait été de mettre sur les sites des malwares, des logiciels malveillants qui s’installent tout seuls en profitant d’une faille du navigateur. À partir du moment où l’on contrôle un nom de domaine, on peut faire des tas de choses » confirme ainsi l’architecte système. Et les conséquences peuvent aller encore plus loin : « La plupart des autorités de certifications acceptent de vous délivrer un certificat si vous pouvez recevoir un courrier adressé à ce domaine. Cela permet à un attaquant de recevoir un certificat valide qui peut ensuite être utilisé. Donc même en se servant de Https, on ne serait pas protégé ».

Une fois le domaine contrôlé, « on n’est limité que par son imagination » 

Stéphane Bortzmeyer indique cependant que le cas de Twitter est un peu particulier, parce que si le nom de domaine est bien « passé sous contrôle de la SEA, puisqu’ils ont changé les informations de contact », les DNS n’ont a priori pas été changés. Si cela avait été le cas, les conséquences n’auraient pas nécessairement été dramatiques, car la plupart des accès se font au travers des clients tiers, et donc de l’API Twitter. « Il est plus dur de faire un faux Twitter, et c’est peut-être pour ça que la SEA ne l’a pas fait » envisage ainsi Bortzmeyer. Il émet l’idée qu’un verrou supplémentaire aurait pu être mis en place sur le nom de domaine. Car l’expert indique clairement qu’une fois « le nom de domaine contrôlé, on n’est limité que par son imagination ».

 

Actuellement, il reste très difficile de dire ce qui s’est vraiment passé du côté de Melbourne IT : « Le problème c’est qu’on peut voir publiquement quel est le bureau d’enregistrement d’un nom de domaine, donc on sait que New York Times, Huffington Post, Twitter utilisaient le même, Melbourne IT. Par contre, on n’a pas accès au revendeur, donc on ne peut pas vérifier si c’était le même ». Un flou qui nous a amené naturellement à une question plus complexe : que pourrait-on faire pour éviter que ce genre de situation ne se reproduise ?

Des bonnes pratiques de sécurité aux changements d'architecture 

Selon Stéphane Bortzmeyer, il existe bien des méthodes pour se prémunir, « à court terme et à long terme ». À court terme d’abord, l’idée est simple : « Les bonnes pratiques de sécurité. Donc des mots de passe difficiles et des authentifications à deux facteurs », tout en soulignant que cette dernière est très pénible : « Si l’on perd l’un des deux facteurs, on perd tout. Il n’y a pas de sécurité gratuite ». Il regrette tout de même que la compétition sur les bureaux d’enregistrement se fasse sur le prix ou encore la publicité, mais pas sur la sécurité, qui « ne paye pas ».

 

C’est à plus long terme cependant que les choses se corsent vraiment : « On pourrait réfléchir à des changements d’architecture car la complexité est l’ennemi de la sécurité. Le fait qu’il y ait le registre, le bureau d’enregistrement, le revendeur de bureau d’enregistrement, on pourrait se demander si ce n’est pas un trop grand nombre d’acteurs. Et qui dit multiplicité des acteurs dit plus dur de faire l’audit, plus dur de vérifier la sécurité, plus dur d’établir la responsabilité ».

Simplicité ou sécurité, il faut choisir 

Et on retombe très vite dans la complexité de la méthode à utiliser, notamment si l’on voulait mettre en place une protection supplémentaire : « On pourrait également imaginer un système de verrouillage du nom de domaine au niveau du registre, c’est-à-dire d’avoir la possibilité de dire qu’un domaine donné ne pourrait être modifié qu’à travers une procédure lourde, contraignante et avec des vérifications ».

 

Une complexité motivée par des raisons évidentes mais qui pourrait par la suite être remise en question dans le cas où des modifications urgentes devraient être réalisées. L’architecte illustre d’ailleurs très clairement le propos : « C’est quelque-chose que l’on voit actuellement dans l’industrie des noms de domaine pour des changements de propriétaires ou de bureaux d’enregistrement. Quand ces changements sont très faciles, il y a des détournements, et quand ils sont très difficiles, les gens râlent sur Twitter en critiquant l’aspect bureaucratique ».

 

En définitive, les solutions existent, mais amèneraient à repenser le modèle actuel pour diminuer le nombre d’intermédiaires et donc le nombre de failles potentielles. En attendant, garder en tête les bonnes pratiques de sécurité devrait rester primordial.

Commentaires (9)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







zefling a écrit :



Faut arrêter de croire que le courrier est sécurisé. Ça ne l’a jamais été depuis sa création. Le problème c’est qu’au début on pouvait faire confiance au acteur sur le réseau, maintenant ce n’est plus possible parce qu’on ne vit pas chez les Bisounours. D’ailleurs, presque tout circule en clair sur la toile. Si on veut du tout chiffré, il faut créer un nouvelle Internet.







Ou si on veut que ses données ne soient pas lues, il suffit de ne pas les laisser transiter sur le net ou de les crypter avant.


votre avatar







zefling a écrit :



Faut arrêter de croire que le courrier est sécurisé. Ça ne l’a jamais été depuis sa création. Le problème c’est qu’au début on pouvait faire confiance au acteur sur le réseau, maintenant ce n’est plus possible parce qu’on ne vit pas chez les Bisounours. D’ailleurs, presque tout circule en clair sur la toile. Si on veut du tout chiffré, il faut créer un nouvelle Internet.





C’est un peu ce que je dis, non ?

Le souci c’est que vu comme on utilise le courrier en ce moment, en particulier à des fins professionnelles, il faudrait effectivement que les gens, notamment les pros, se rendent enfin compte que clairement la sécurité n’est pas là (ce qui est évident pour qqun qui s’intéresse un peu au sujet)..



Et justement, ce genre d’evènements est là pour le rappeler, et c’est très bien d’insister là dessus.


votre avatar







Drepanocytose a écrit :



C’est un peu ce que je dis, non ?

Le souci c’est que vu comme on utilise le courrier en ce moment, en particulier à des fins professionnelles, il faudrait effectivement que les gens, notamment les pros, se rendent enfin compte que clairement la sécurité n’est pas là (ce qui est évident pour qqun qui s’intéresse un peu au sujet)..



Et justement, ce genre d’evènements est là pour le rappeler, et c’est très bien d’insister là dessus.





Enfin dans les entreprises, la sécu on s’en fout jusqu’au jour où il y a un gros problème. Vécu partout où je suis passé. <img data-src=" />


votre avatar







zefling a écrit :



Enfin dans les entreprises, la sécu on s’en fout jusqu’au jour où il y a un gros problème. Vécu partout où je suis passé. <img data-src=" />







Je plussoie mais bon comme maintenant presque toutes les entreprises sont où ont été confrontées a des incidents graves, la sécurité fait sont petit chemin (mais bon c’est pas encore glorieux)


votre avatar

Stéphane Bortzmeyer <img data-src=" />



(Ceci était un commentaire utile et constructif)

votre avatar
votre avatar

Bouais c’est pas les détournement de DNS de pirates Syriens que me fait peur moi …



C’est plutôt les conséquences de l’attaque sur la Syrie qui va bientôt avoir lieu.



Sur le sujet, détourner NYT ou Twitter ce ne sont pas forcément des cibles sensibles … sauf si les gens sont assez bête pour passer des informations sensibles par ces médias …



ils auraient fait ca sur des DNS de banque … là …. ca aurait piqué

votre avatar



« Comme l’ensemble du domaine du New York Times était pris, cela aurait pu toucher les relais de courrier et donc permettre le détournement des emails. Pour les gens qui écrivaient au New York Times, le courrier aurait pu arriver à un endroit choisi par l’attaquant » affirme Stéphane Bortzmeyer.



Ce qui demontre encore une fois, si besoin était, de la très faible sécurité de la chaine du courrier….

votre avatar







Drepanocytose a écrit :



Ce qui demontre encore une fois, si besoin était, de la très faible sécurité de la chaine du courrier….





Faut arrêter de croire que le courrier est sécurisé. Ça ne l’a jamais été depuis sa création. Le problème c’est qu’au début on pouvait faire confiance au acteur sur le réseau, maintenant ce n’est plus possible parce qu’on ne vit pas chez les Bisounours. D’ailleurs, presque tout circule en clair sur la toile. Si on veut du tout chiffré, il faut créer un nouvelle Internet.


Détournement du NYT et de Twitter : entretien avec Stéphane Bortzmeyer

  • Emails détournés et malwares : des conséquences possibles 

  • Une fois le domaine contrôlé, « on n’est limité que par son imagination » 

  • Des bonnes pratiques de sécurité aux changements d'architecture 

  • Simplicité ou sécurité, il faut choisir 

Fermer