Un vent de panique a soufflé ce week-end dans les équipes IT d'astreinte, certains médias évoquant une cyberattaque visant le « cœur » d'Internet. En réalité, rien de spécial ces derniers jours, si ce n'est la publication jeudi dernier d'un billet de blog de l'ICANN (Société pour l'attribution des noms de domaine et des numéros sur Internet). Ce genre de risque n'a rien de nouveau, l'ICANN elle-même en parlait déjà en 2005 par exemple.
L'organisme y explique qu'il « existe un risque important et permanent pour les éléments clés de l'infrastructure du système de noms de domaine (DNS) ». Il s'appuie notamment sur un billet de blog de KrebsOnSecurity, lui-même reprenant le rapport FireEye de début janvier sur une attaque DNS visant de nombreuses entreprises et organisations.
L'ICANN recommande d'utiliser DNSSEC (Domain Name System Security Extensions) qui existe depuis de nombreuses années, mais est encore trop rarement utilisé (alors qu'il devrait). « Bien que cela ne résolve pas les problèmes de sécurité d'Internet, DNSSEC vise à garantir que les internautes atteignent la destination souhaitée en aidant à prévenir les attaques dites "d'homme au milieu" », explique l'organisme.
Stéphane Bortzmeyer, spécialiste des noms de domaines, joue aux questions/réponses sur twitter : « DNSSEC aurait-il aidé contre les attaques actuelles contre les noms de domaine ? Réponse : peut-être, dans certains cas, mais c'est compliqué ». Il rappelle aussi qu'il avait publié un billet de blog sur ce même sujet en… 2013.
Dans une interview à France Info, Bortzmeyer explique qu'il « n'y a pas de raison urgente de paniquer. L'ICANN, et les médias qui ont repris son communiqué, ont un discours sensationnaliste, dramatique, du genre des films hollywoodiens [...] L'attaque en question, qui vise le système des noms de domaine, est identifiée et pratiquée depuis des années ».
Commentaires (43)
#1
Quad9 l’utilise je crois.
" />
#2
Merci, NextInpact.
" />
" />
J’avais vaguement entendu l’info ce week-end et, comme souvent quand il s’agit d’informatique, j’ai attendu votre version plutôt que d’aller voir les dépêches et articles, souvent sensationnalistes.
Votre souci de prendre le temps de réellement informer, c’est ça qui m’a fait m’abonner.
#3
Faire flipper tout le monde pour rien, YES I CANN !
#4
C’est bon, j’ai un cadenas vert, je suis en sécurité.
(humour, hein !)
#5
Oui-oui :https://www.eff.org/deeplinks/2019/02/cyber-mercenary-groups-shouldnt-be-trusted…
" />
#6
Faudrait envoyer le lien à Mounir Mahjoubi:
https://www.ouest-france.fr/high-tech/internet/ils-peuvent-recuperer-vos-donnees-mounir-mahjoubi-confirme-une-attaque-internet-de-grande-ampleur-6236230
#7
Comme quoi passer un weekend au fond de l’ardèche loin de tout, ca évite de lire pas mal de conneries !
Merci nextinpact pour fact checking :p
#8
Pas mal.
" />
Mais je n’ai pas très bien compris, comment on peut hack un DNS et faire atterrir les gens sur un site de hackeur, mais qui correspond au site recherché par les gens?
Genre si je suis redirigé par le DNS hacké, au lieu d’atterrir sur Facebook, j’arrive sur une page de hackeur mais qui correspond à Facebook?
Normalement avec le DNQ, tu récupère juste l’IP et basta.
#9
DNS * :(
#10
Techniquement cela devrait être le cas (sauf qu’il peut y avoir des failles).
Si le DNS renvoi vers un serveur “pirate” au lieu du bon site, pour avoir le cadenas vert pour citer tes propos, il faut que le serveur “pirate” fournisse un certificat valide pour le nom de domaine en question. Hors pour créer un certificat valide, il faut pouvoir justifier d’être propriétaire du nom de domaine.
Mais il est possible de générer très rapidement un certificat via Let’s Encrypt, la seule contrainte c’est que le serveur générant le certificat Let’s Encrypt utilise le même DNS vérolé…
#11
DNSSEC serait plus utilisé si le concept était expliqué plus clairement. A ce jour j’ai encore du mal à percevoir si c’est bien de bout-en-bout ou si c’est une affaire uniquement entre serveurs DNS et registrars (et le end-user n’a cure de tout cela).
DNScrypt a l’avantage d’être clair, on installe un soft et on trouve un serveur compatible et c’est fait… mais ça ne couvre pas le même besoin car ça protège d’un MITM, pas d’un éventuel ré-enregistrement.
#12
Quad9 est en effet un résolveur DNSSEC validant (vérifiant les signatures DNSSEC). Comme des tas d’autres. Après, ça n’est qu’un résolveur, il faut encore que les serveurs faisant autorité servent des signatures (que les zones soient signées).
Et utiliser un résolveur public états-unien pose d’autres problèmes….
#13
J’avoue ne pas bien comprendre votre message. Oui, contrôler le DNS permet en effet de mettre une adresse IP de son choix à la place de la vraie. C’est justement le principe de cette attaque. Une fois que c’est fait, les clients vont vers vous et plus vers le bon serveur. Vous avez gagné. Si vous pouvez contrôler facebook.com, vous avez tout le trafic de Facebook.
#14
Et c’est justement ce qu’ont fait les attaquants (l’article de Krebs, cité par Next Inpact, contient tous les détails techniques). Les journaux « certificate transparency » montrent bien les certificats Let’s Encrypt obtenus par les attaquants.
#15
Par contre, je ne comprends pas bien la « seule contrainte » dont vous parlez. Let’s Encrypt utilise évidement les mêmes serveurs faisant autorité que tout le monde. Leur résolveur demande au domaine du dessus et obtient la même liste que tout le monde. Donc, si je contrôle nextinpact.com et que je change les enregistrements, tout le monde les verra (c’est le principe du DNS).
#16
Oui, DNSSEC est de bout en bout (si on valide sur une machine de confiance, bien sûr ; au bureau, c’est une machine de mon employeur, à la maison, une machine du réseau local que je contrôle).
DNScrypt n’a rien à voir : il protège le canal et pas les données et n’est donc pas de bout en bout.
#17
Oui tu atterris sur le site du pirate et là deux solutions :
#18
Merci pour la réponse. :)
" />
Ma question est : est-ce-que le serveur reproduit le site ? Ou bien est-ce-qu’il redirige lui-même le client vers vrai site en volant au passage les données ? La personne devrait se rendre compte du souci et agir en conséquence si le site n’est pas reproduit à l’identique.
J’imagine que le certificat indique que tout va bien, vu qu’il vérifie uniquement l’URL ?
Edit : Ah bah quelqu’un a déjà répondu.
#19
Les deux méthodes (reproduction du vrai site, ou bien homme du milieu, bien que ce nom ne soit pas parfaitement adapté ici) sont possibles.
Et les attaquants avaient des certificats, qu’on peut voir avec crt.sh.
#20
D’accord, donc ça reste une attaque assez complexe à mettre en œuvre, en fonction du site visé.
Merci.
#21
En somme il y a un problème avec les DNS et avec les CA.
" />
On est pas sorti de l’auberge
Il faudrait remplacer tout ça…
#22
Vous parlez de Quad9 qui est un DNS américain.
Vous avez un DNS supportant également DNSSEC avec un support de l’IPv6 ?
Merci.
#23
J’ai bien dit que je déconseillais l’utilisation de résolveurs DNS publics états-uniens.
Personnellement, j’utilise toujours les résolveurs du réseau local, contrôlés par moi ou par mon employeur.
#24
Peut-être que ceux de la FDN sont bien, ou OpenNIC.
Faudrait que je me renseigne pour installer un DNS sur mon OpenWRT.
Merci.
#25
Que ceux de FDN soient bien ou pas d’y change rien :https://www.bortzmeyer.org/dns-resolveurs-publics.html
#26
Je lis ça. :)
Merci .
#27
🎶 Dans la jungle, terrible jungle, Internet est moooort ce soooooir 🎶
" />
Ah non, ça passe pas, trop de syllabes à Internet
#28
« Le Net », deux syllabes ? Ou bien « Le web » ?
#29
Dur dur.
#30
#31
Et donc, c’est à qui d’agir pour implémenter DNSSEC ?
Les FAI car serveurs DNS principaux des gens normaux ?
Les éditeurs d’OS, car clients DNS ?
Les éditeurs des navigateurs ?
#32
#33
Certainement pas les navigateurs, Internet, ce n’est pas que le Web !
- les gérants des zones DNS (pas nextinpact.com, qui est partiellement OK, mais les autres)
#34
Simple tu modifie que quelques DNS principaux (google, facebook, etc….) et tu renvoie vers une fausse page (facebook par exemple) ou tout du moins une page qui y ressemble fortement. Pareil pour les autres.
Tu n’as plus qu’a récupérer ses mots de passe quand il se connecte
#35
#36
Ça m’a fait pensé à un épisode de IT crowd
Internet is broken
#37
#38
DNSSec n’utilise pas les magasins que tu cites.
Les magasins que tu cites sont utilisés (mais pas que) pour vérifier les certificats des sites en HTTPS.
Et Internet, ce n’est pas que du HTTP ou HTTPS. Beaucoup d’autres services (e-mail par exemple) reposent sur DNS pour leur fonctionnement. D’où l’importance de sa fiabilité.
#39
Je sais, je citais les magasins de certif pour illustrer que les OS et navigateurs ont un rôle dans la sécurité, en réponse à Stéphane Bortzmeyer qui disait que les navigateurs n’ont pas à implémenter DNSSEC.
Le chiffrement TLS c’est de bout en bout (pc client - serveur), pourquoi ça le serait pas avec DNSSEC ?
Je vois bien que les attaques DNS dont on parle se font sur les serveurs, mais des attaques DNS mitm entre les clients et les fai pourraient arriver non ?
#40
Vous pensez qu’il se débrouille tout seul Mahjoubi ou quelqu’un lui fait des fiches ?
" />
#41
#42