Non, Internet n’est pas mort ce week-end (mais déployez DNSSEC)
Le 25 février 2019 à 09h31
2 min
Internet
Internet
Un vent de panique a soufflé ce week-end dans les équipes IT d'astreinte, certains médias évoquant une cyberattaque visant le « cœur » d'Internet. En réalité, rien de spécial ces derniers jours, si ce n'est la publication jeudi dernier d'un billet de blog de l'ICANN (Société pour l'attribution des noms de domaine et des numéros sur Internet). Ce genre de risque n'a rien de nouveau, l'ICANN elle-même en parlait déjà en 2005 par exemple.
L'organisme y explique qu'il « existe un risque important et permanent pour les éléments clés de l'infrastructure du système de noms de domaine (DNS) ». Il s'appuie notamment sur un billet de blog de KrebsOnSecurity, lui-même reprenant le rapport FireEye de début janvier sur une attaque DNS visant de nombreuses entreprises et organisations.
L'ICANN recommande d'utiliser DNSSEC (Domain Name System Security Extensions) qui existe depuis de nombreuses années, mais est encore trop rarement utilisé (alors qu'il devrait). « Bien que cela ne résolve pas les problèmes de sécurité d'Internet, DNSSEC vise à garantir que les internautes atteignent la destination souhaitée en aidant à prévenir les attaques dites "d'homme au milieu" », explique l'organisme.
Stéphane Bortzmeyer, spécialiste des noms de domaines, joue aux questions/réponses sur twitter : « DNSSEC aurait-il aidé contre les attaques actuelles contre les noms de domaine ? Réponse : peut-être, dans certains cas, mais c'est compliqué ». Il rappelle aussi qu'il avait publié un billet de blog sur ce même sujet en… 2013.
Dans une interview à France Info, Bortzmeyer explique qu'il « n'y a pas de raison urgente de paniquer. L'ICANN, et les médias qui ont repris son communiqué, ont un discours sensationnaliste, dramatique, du genre des films hollywoodiens [...] L'attaque en question, qui vise le système des noms de domaine, est identifiée et pratiquée depuis des années ».
Le 25 février 2019 à 09h31
Commentaires (42)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/02/2019 à 14h08
Oui, DNSSEC est de bout en bout (si on valide sur une machine de confiance, bien sûr ; au bureau, c’est une machine de mon employeur, à la maison, une machine du réseau local que je contrôle).
DNScrypt n’a rien à voir : il protège le canal et pas les données et n’est donc pas de bout en bout.
Le 25/02/2019 à 14h10
Oui tu atterris sur le site du pirate et là deux solutions :
Le 25/02/2019 à 14h12
Merci pour la réponse. :)
Ma question est : est-ce-que le serveur reproduit le site ? Ou bien est-ce-qu’il redirige lui-même le client vers vrai site en volant au passage les données ? La personne devrait se rendre compte du souci et agir en conséquence si le site n’est pas reproduit à l’identique.
J’imagine que le certificat indique que tout va bien, vu qu’il vérifie uniquement l’URL ?
Edit : Ah bah quelqu’un a déjà répondu. " />
Le 25/02/2019 à 14h14
Les deux méthodes (reproduction du vrai site, ou bien homme du milieu, bien que ce nom ne soit pas parfaitement adapté ici) sont possibles.
Et les attaquants avaient des certificats, qu’on peut voir avec crt.sh.
Le 25/02/2019 à 14h16
D’accord, donc ça reste une attaque assez complexe à mettre en œuvre, en fonction du site visé.
Merci.
Le 25/02/2019 à 14h32
En somme il y a un problème avec les DNS et avec les CA.
On est pas sorti de l’auberge " />
Il faudrait remplacer tout ça…
Le 25/02/2019 à 14h32
Vous parlez de Quad9 qui est un DNS américain.
Vous avez un DNS supportant également DNSSEC avec un support de l’IPv6 ?
Merci.
Le 25/02/2019 à 14h36
J’ai bien dit que je déconseillais l’utilisation de résolveurs DNS publics états-uniens.
Personnellement, j’utilise toujours les résolveurs du réseau local, contrôlés par moi ou par mon employeur.
Le 25/02/2019 à 14h40
Peut-être que ceux de la FDN sont bien, ou OpenNIC.
Faudrait que je me renseigne pour installer un DNS sur mon OpenWRT.
Merci.
Le 25/02/2019 à 14h46
Que ceux de FDN soient bien ou pas d’y change rien :https://www.bortzmeyer.org/dns-resolveurs-publics.html
Le 25/02/2019 à 14h47
Je lis ça. :)
Merci .
Le 25/02/2019 à 15h12
🎶 Dans la jungle, terrible jungle, Internet est moooort ce soooooir 🎶
Ah non, ça passe pas, trop de syllabes à Internet " />
Le 25/02/2019 à 15h21
« Le Net », deux syllabes ? Ou bien « Le web » ?
Le 25/02/2019 à 15h27
Dur dur.
Le 25/02/2019 à 15h43
Le 25/02/2019 à 16h04
Et donc, c’est à qui d’agir pour implémenter DNSSEC ?
Les FAI car serveurs DNS principaux des gens normaux ?
Les éditeurs d’OS, car clients DNS ?
Les éditeurs des navigateurs ?
Le 25/02/2019 à 16h08
Le 25/02/2019 à 16h09
Certainement pas les navigateurs, Internet, ce n’est pas que le Web !
- les gérants des zones DNS (pas nextinpact.com, qui est partiellement OK, mais les autres)
Le 25/02/2019 à 16h15
Simple tu modifie que quelques DNS principaux (google, facebook, etc….) et tu renvoie vers une fausse page (facebook par exemple) ou tout du moins une page qui y ressemble fortement. Pareil pour les autres.
Tu n’as plus qu’a récupérer ses mots de passe quand il se connecte
Le 25/02/2019 à 16h20
Le 25/02/2019 à 17h04
Ça m’a fait pensé à un épisode de IT crowd
Internet is broken
Le 25/02/2019 à 17h53
Le 25/02/2019 à 18h53
DNSSec n’utilise pas les magasins que tu cites.
Les magasins que tu cites sont utilisés (mais pas que) pour vérifier les certificats des sites en HTTPS.
Et Internet, ce n’est pas que du HTTP ou HTTPS. Beaucoup d’autres services (e-mail par exemple) reposent sur DNS pour leur fonctionnement. D’où l’importance de sa fiabilité.
Le 25/02/2019 à 19h06
Je sais, je citais les magasins de certif pour illustrer que les OS et navigateurs ont un rôle dans la sécurité, en réponse à Stéphane Bortzmeyer qui disait que les navigateurs n’ont pas à implémenter DNSSEC.
Le chiffrement TLS c’est de bout en bout (pc client - serveur), pourquoi ça le serait pas avec DNSSEC ?
Je vois bien que les attaques DNS dont on parle se font sur les serveurs, mais des attaques DNS mitm entre les clients et les fai pourraient arriver non ?
Le 25/02/2019 à 19h30
Vous pensez qu’il se débrouille tout seul Mahjoubi ou quelqu’un lui fait des fiches ? " />
Le 25/02/2019 à 23h42
Le 26/02/2019 à 07h43
Le 25/02/2019 à 09h30
Quad9 l’utilise je crois. " />
Le 25/02/2019 à 09h46
Merci, NextInpact. " />
J’avais vaguement entendu l’info ce week-end et, comme souvent quand il s’agit d’informatique, j’ai attendu votre version plutôt que d’aller voir les dépêches et articles, souvent sensationnalistes.
Votre souci de prendre le temps de réellement informer, c’est ça qui m’a fait m’abonner. " />
Le 25/02/2019 à 10h13
Faire flipper tout le monde pour rien, YES I CANN !
Le 25/02/2019 à 10h34
C’est bon, j’ai un cadenas vert, je suis en sécurité.
(humour, hein !)
Le 25/02/2019 à 10h46
Oui-oui :https://www.eff.org/deeplinks/2019/02/cyber-mercenary-groups-shouldnt-be-trusted…
" />
Le 25/02/2019 à 11h53
Faudrait envoyer le lien à Mounir Mahjoubi:
Ouest France
Le 25/02/2019 à 12h10
Comme quoi passer un weekend au fond de l’ardèche loin de tout, ca évite de lire pas mal de conneries !
Merci nextinpact pour fact checking :p
Le 25/02/2019 à 12h27
Pas mal. " />
Mais je n’ai pas très bien compris, comment on peut hack un DNS et faire atterrir les gens sur un site de hackeur, mais qui correspond au site recherché par les gens?
Genre si je suis redirigé par le DNS hacké, au lieu d’atterrir sur Facebook, j’arrive sur une page de hackeur mais qui correspond à Facebook?
Normalement avec le DNQ, tu récupère juste l’IP et basta.
Le 25/02/2019 à 12h46
DNS * :(
Le 25/02/2019 à 13h02
Techniquement cela devrait être le cas (sauf qu’il peut y avoir des failles).
Si le DNS renvoi vers un serveur “pirate” au lieu du bon site, pour avoir le cadenas vert pour citer tes propos, il faut que le serveur “pirate” fournisse un certificat valide pour le nom de domaine en question. Hors pour créer un certificat valide, il faut pouvoir justifier d’être propriétaire du nom de domaine.
Mais il est possible de générer très rapidement un certificat via Let’s Encrypt, la seule contrainte c’est que le serveur générant le certificat Let’s Encrypt utilise le même DNS vérolé…
Le 25/02/2019 à 13h59
DNSSEC serait plus utilisé si le concept était expliqué plus clairement. A ce jour j’ai encore du mal à percevoir si c’est bien de bout-en-bout ou si c’est une affaire uniquement entre serveurs DNS et registrars (et le end-user n’a cure de tout cela).
DNScrypt a l’avantage d’être clair, on installe un soft et on trouve un serveur compatible et c’est fait… mais ça ne couvre pas le même besoin car ça protège d’un MITM, pas d’un éventuel ré-enregistrement.
Le 25/02/2019 à 14h01
Quad9 est en effet un résolveur DNSSEC validant (vérifiant les signatures DNSSEC). Comme des tas d’autres. Après, ça n’est qu’un résolveur, il faut encore que les serveurs faisant autorité servent des signatures (que les zones soient signées).
Et utiliser un résolveur public états-unien pose d’autres problèmes….
Le 25/02/2019 à 14h03
J’avoue ne pas bien comprendre votre message. Oui, contrôler le DNS permet en effet de mettre une adresse IP de son choix à la place de la vraie. C’est justement le principe de cette attaque. Une fois que c’est fait, les clients vont vers vous et plus vers le bon serveur. Vous avez gagné. Si vous pouvez contrôler facebook.com, vous avez tout le trafic de Facebook.
Le 25/02/2019 à 14h04
Et c’est justement ce qu’ont fait les attaquants (l’article de Krebs, cité par Next Inpact, contient tous les détails techniques). Les journaux « certificate transparency » montrent bien les certificats Let’s Encrypt obtenus par les attaquants.
Le 25/02/2019 à 14h06
Par contre, je ne comprends pas bien la « seule contrainte » dont vous parlez. Let’s Encrypt utilise évidement les mêmes serveurs faisant autorité que tout le monde. Leur résolveur demande au domaine du dessus et obtient la même liste que tout le monde. Donc, si je contrôle nextinpact.com et que je change les enregistrements, tout le monde les verra (c’est le principe du DNS).