Connexion
Abonnez-vous

Non, Internet n’est pas mort ce week-end (mais déployez DNSSEC)

Non, Internet n'est pas mort ce week-end (mais déployez DNSSEC)

Le 25 février 2019 à 09h31

Un  vent de panique a soufflé ce week-end dans les équipes IT d'astreinte, certains médias évoquant une cyberattaque visant le « cœur » d'Internet. En réalité, rien de spécial ces derniers jours, si ce n'est la publication jeudi dernier d'un billet de blog de l'ICANN (Société pour l'attribution des noms de domaine et des numéros sur Internet). Ce genre de risque n'a rien de nouveau, l'ICANN elle-même en parlait déjà en 2005 par exemple.

L'organisme y explique qu'il « existe un risque important et permanent pour les éléments clés de l'infrastructure du système de noms de domaine (DNS) ». Il s'appuie notamment  sur un billet de blog de KrebsOnSecurity, lui-même reprenant le rapport FireEye de début janvier sur une attaque DNS visant de nombreuses entreprises et organisations.

L'ICANN recommande d'utiliser DNSSEC (Domain Name System Security Extensions) qui existe depuis de nombreuses années, mais est encore trop rarement utilisé (alors qu'il devrait). « Bien que cela ne résolve pas les problèmes de sécurité d'Internet, DNSSEC vise à garantir que les internautes atteignent la destination souhaitée en aidant à prévenir les attaques dites "d'homme au milieu" », explique l'organisme.

Stéphane Bortzmeyer, spécialiste des noms de domaines, joue aux questions/réponses sur twitter : « DNSSEC aurait-il aidé contre les attaques actuelles contre les noms de domaine ? Réponse : peut-être, dans certains cas, mais c'est compliqué ». Il rappelle aussi qu'il avait publié un billet de blog sur ce même sujet en… 2013.

Dans une interview à France Info, Bortzmeyer explique qu'il « n'y a pas de raison urgente de paniquer. L'ICANN, et les médias qui ont repris son communiqué, ont un discours sensationnaliste, dramatique, du genre des films hollywoodiens [...] L'attaque en question, qui vise le système des noms de domaine, est identifiée et pratiquée depuis des années ».

Le 25 février 2019 à 09h31

Commentaires (42)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Oui, DNSSEC est de bout en bout (si on valide sur une machine de confiance, bien sûr ; au bureau, c’est une machine de mon employeur, à la maison, une machine du réseau local que je contrôle).



DNScrypt n’a rien à voir : il protège le canal et pas les données et n’est donc pas de bout en bout.

votre avatar

Oui tu atterris sur le site du pirate et là deux solutions :




  • soit ça ne ressemble pas du tout au site demandé (et donc tu flippes et tu quittes le site)

  • soit le site est une réplique du site “normal” et joue le rôle d’un man in the middle : tu fournis tes identifiants au pirate qui lui interroge le vrai site et te renvoie l’information que tu aurais dû voir. Tu n’y vois que du feu et le pirate a ainsi identifiants, CB…

votre avatar

Merci pour la réponse. :)



Ma question est : est-ce-que le serveur reproduit le site ? Ou bien est-ce-qu’il redirige lui-même le client vers vrai site en volant au passage les données ? La personne devrait se rendre compte du souci et agir en conséquence si le site n’est pas reproduit à l’identique.



J’imagine que le certificat indique que tout va bien, vu qu’il vérifie uniquement l’URL ?



&nbsp;Edit : Ah bah quelqu’un a déjà répondu. <img data-src=" />

votre avatar

Les deux méthodes (reproduction du vrai site, ou bien homme du milieu, bien que ce nom ne soit pas parfaitement adapté ici) sont possibles.



Et les attaquants avaient des certificats, qu’on peut voir avec crt.sh.

&nbsp;

votre avatar

D’accord, donc ça reste une attaque assez complexe à mettre en œuvre, en fonction du site visé.



Merci.



&nbsp;

votre avatar

En somme il y a un problème avec les DNS et avec les CA.



On est pas sorti de l’auberge <img data-src=" />

Il faudrait remplacer tout ça…

votre avatar

Vous parlez de Quad9 qui est un DNS américain.



Vous avez un DNS supportant également DNSSEC avec un support de l’IPv6 ?



Merci.

votre avatar

J’ai bien dit que je déconseillais l’utilisation de résolveurs DNS publics états-uniens.



Personnellement, j’utilise toujours les résolveurs du réseau local, contrôlés par moi ou par mon employeur.

votre avatar

Peut-être que ceux de la FDN sont bien, ou OpenNIC.



Faudrait que je me renseigne pour installer un DNS sur mon OpenWRT.



Merci.

votre avatar

Que ceux de FDN soient bien ou pas d’y change rien :https://www.bortzmeyer.org/dns-resolveurs-publics.html

votre avatar

Je lis ça. :)



Merci .

votre avatar

🎶 Dans la jungle, terrible jungle, Internet est moooort ce soooooir 🎶



Ah non, ça passe pas, trop de syllabes à Internet <img data-src=" />

votre avatar

« Le Net », deux syllabes ? Ou bien « Le web » ?

votre avatar

Dur dur.

votre avatar







tpeg5stan a écrit :



« Le Net », deux syllabes ? Ou bien « Le web » ?







Ah oui, le Net, ça passe. Le web, c’est niet. Le Web peut mourir (il l’est déjà pour certain·e·s), le net restera bon pied bon œil. :)


votre avatar

Et donc, c’est à qui d’agir pour implémenter DNSSEC ?



Les FAI car serveurs DNS principaux des gens normaux ?

Les éditeurs d’OS, car clients DNS ?

Les éditeurs des navigateurs ?

votre avatar







Stéphane Bortzmeyer a écrit :



Que ceux de FDN soient bien ou pas d’y change rien :https://www.bortzmeyer.org/dns-resolveurs-publics.html





Très intéressant, merci ! <img data-src=" />


votre avatar

Certainement pas les navigateurs, Internet, ce n’est pas que le Web !



&nbsp;- les gérants des zones DNS (pas nextinpact.com, qui est partiellement OK, mais les autres)




  • les gérants des résolveurs (FAI pour l’accès à la maison, DSI pour l’entreprise)

votre avatar

Simple tu modifie que quelques DNS principaux (google, facebook, etc….) et tu renvoie vers une fausse page (facebook par exemple) ou tout du moins une page qui y ressemble fortement. Pareil pour les autres.

Tu n’as plus qu’a récupérer ses mots de passe quand il se connecte

votre avatar







Stéphane Bortzmeyer a écrit :



Certainement pas les navigateurs, Internet, ce n’est pas que le Web !





Firefox, Android et Windows (par exemple) contiennent des magasins de certificats et alertent quand un souci apparait, ils ont donc un rôle côté client dans la sécurité, non ?


votre avatar

Ça m’a fait pensé à un épisode de IT crowd

&nbsp;Internet is broken

votre avatar







empty a écrit :



Et donc, c’est à qui d’agir pour implémenter DNSSEC ? &nbsp;





En tout cas, avec un tel exemple (non isolé) d’incompétence crasse dans l’état LREM, il ne faudra pas compter sur lui pour siffler la fin de la récré:



“Très rare” selon notre éminence grise étatique du numérique:

&nbsp;

http://www.leparisien.fr/high-tech/mahjoubi-confirme-une-cyberattaque-de-grande-…



Ce guignol empâté devrait en rester à ce qu’il connaît d’internet: Les réseaux dits sociaux.



La start-up nation, quelle guignolade!!! A croire que la personnalité du patron (voulant tout contrôler) n’a, comme souvent en pareil cas, pas vraiment attiré les talents mais bien plutôt ceux sachant lécher les bons c…!


votre avatar

DNSSec n’utilise pas les magasins que tu cites.

Les magasins que tu cites sont utilisés (mais pas que) pour vérifier les certificats des sites en HTTPS.

Et Internet, ce n’est pas que du HTTP ou HTTPS. Beaucoup d’autres services (e-mail par exemple) reposent sur DNS pour leur fonctionnement. D’où l’importance de sa fiabilité.

votre avatar

Je sais, je citais les magasins de certif pour illustrer que les OS et navigateurs ont un rôle dans la sécurité, en réponse à Stéphane Bortzmeyer qui disait que les navigateurs n’ont pas à implémenter DNSSEC.



Le chiffrement TLS c’est de bout en bout (pc client - serveur), pourquoi ça le serait pas avec DNSSEC ?



&nbsp;Je vois bien que les attaques DNS dont on parle se font sur les serveurs, mais des attaques DNS mitm entre les clients et les fai pourraient arriver non ?

votre avatar

Vous pensez qu’il se débrouille tout seul Mahjoubi ou quelqu’un lui fait des fiches ? <img data-src=" />

votre avatar







Stéphane Bortzmeyer a écrit :



Oui, DNSSEC est de bout en bout (si on valide sur une machine de confiance, bien sûr ; au bureau, c’est une machine de mon employeur, à la maison, une machine du réseau local que je contrôle).



DNScrypt n’a rien à voir : il protège le canal et pas les données et n’est donc pas de bout en bout.





Dans ce cas, on a un sérieux souci d’informations.



Le client DNS est « security aware » depuis WIndows 7, mais à aucun moment je ne sais si j’utilise ou non DNSSEC.


votre avatar







Z-os a écrit :



Vous pensez qu’il se débrouille tout seul Mahjoubi ou quelqu’un lui fait des fiches ? <img data-src=" />





Je pense qu’il n’a eu besoin de personne pour démontrer son incompétence…


votre avatar

Quad9 l’utilise je crois. <img data-src=" />

votre avatar

Merci, NextInpact. <img data-src=" />



J’avais vaguement entendu l’info ce week-end et, comme souvent quand il s’agit d’informatique, j’ai attendu votre version plutôt que d’aller voir les dépêches et articles, souvent sensationnalistes.



Votre souci de prendre le temps de réellement informer, c’est ça qui m’a fait m’abonner. <img data-src=" />

votre avatar

Faire flipper tout le monde pour rien, YES I CANN !

votre avatar

C’est bon, j’ai un cadenas vert, je suis en sécurité.



(humour, hein !)

votre avatar
votre avatar
votre avatar

Comme quoi passer un weekend au fond de l’ardèche loin de tout, ca évite de lire pas mal de conneries !



Merci nextinpact pour fact checking :p

votre avatar

Pas mal. <img data-src=" />



Mais je n’ai pas très bien compris, comment on peut hack un DNS et faire atterrir les gens sur un site de hackeur, mais qui correspond au site recherché par les gens?



Genre si je suis redirigé par le DNS hacké, au lieu d’atterrir sur Facebook, j’arrive sur une page de hackeur mais qui correspond à Facebook?



Normalement avec le DNQ, tu récupère juste l’IP et basta.

votre avatar

DNS * :(

votre avatar

Techniquement cela devrait être le cas (sauf qu’il peut y avoir des failles).



Si le DNS renvoi vers un serveur “pirate” au lieu du bon site, pour avoir le cadenas vert pour citer tes propos, il faut que le serveur “pirate” fournisse un certificat valide pour le nom de domaine en question. Hors pour créer un certificat valide, il faut pouvoir justifier d’être propriétaire du nom de domaine.



Mais il est possible de générer très rapidement un certificat via Let’s Encrypt, la seule contrainte c’est que le serveur générant le certificat Let’s Encrypt utilise le même DNS vérolé…

votre avatar

DNSSEC serait plus utilisé si le concept était expliqué plus clairement. A ce jour j’ai encore du mal à percevoir si c’est bien de bout-en-bout ou si c’est une affaire uniquement entre serveurs DNS et registrars (et le end-user n’a cure de tout cela).

&nbsp;

DNScrypt a l’avantage d’être clair, on installe un soft et on trouve un serveur compatible et c’est fait… mais ça ne couvre pas le même besoin car ça protège d’un MITM, pas d’un éventuel ré-enregistrement.

votre avatar

Quad9 est en effet un résolveur DNSSEC validant (vérifiant les signatures DNSSEC). Comme des tas d’autres. Après, ça n’est qu’un résolveur, il faut encore que les serveurs faisant autorité servent des signatures (que les zones soient signées).



Et utiliser un résolveur public états-unien pose d’autres problèmes….

&nbsp;

votre avatar

J’avoue ne pas bien comprendre votre message. Oui, contrôler le DNS permet en effet de mettre une adresse IP de son choix à la place de la vraie. C’est justement le principe de cette attaque. Une fois que c’est fait, les clients vont vers vous et plus vers le bon serveur. Vous avez gagné. Si vous pouvez contrôler facebook.com, vous avez tout le trafic de Facebook.

votre avatar

Et c’est justement ce qu’ont fait les attaquants (l’article de Krebs, cité par Next Inpact, contient tous les détails techniques). Les journaux « certificate transparency » montrent bien les certificats Let’s Encrypt obtenus par les attaquants.

votre avatar

Par contre, je ne comprends pas bien la « seule contrainte » dont vous parlez. Let’s Encrypt utilise évidement les mêmes serveurs faisant autorité que tout le monde. Leur résolveur demande au domaine du dessus et obtient la même liste que tout le monde. Donc, si je contrôle nextinpact.com et que je change les enregistrements, tout le monde les verra (c’est le principe du DNS).

Non, Internet n’est pas mort ce week-end (mais déployez DNSSEC)

Fermer