Faille DNS, C.Perrin (Cisco) : « entreprises, patchez rapidement ! »

Le responsable du marché Sécurité du géant américain revient sur la typologie de la faille et les mesures à prendre en entreprise

Retour sur le colmatage de la brèche dans l’Internet mondial. Christophe Perrin, responsable développement marché Sécurité pour Cisco France nous donne son éclairage. Rappelons que Cisco (tout comme Microsoft, Sun, Alcatel, Juniper…) a participé à la ‘task force’ qui a mis au point les correctifs corrigeant la faille DNS. (Interview réalisée conjointement pour Silicon.fr et Vnunet.fr – Groupe NetMediaEurope).

Pourrait-on avoir des détails techniques sur la faille et son niveau de gravité réelle (Microsoft l’a placé en important et pas critique dans son dernier Patch Tuesday ») ? Il semble s’agir de « cache poisonning »

?

Les implémentations des serveurs DNS de multiples vendeurs contiennent un vulnérabilité qui, si exploitée, pourrait permettre à une personne malveillante de conduire des attaques d’empoisonnement des caches DNS (modification des correspondances adresse IP – nom). Cette vulnérabilité est liée à une entropie insuffisante lors de la génération d’une requête récursive par le serveur : En effet, chaque requête contient un identifiant (généré aléatoirement) qui permet de faire correspondre la réponse lorsqu’elle est reçue. Si un attaquant peut deviner cet identifiant, il peut alors forger une réponse malveillante. Cette attaque peut être utilisée à des fins de phishing, la vulnérabilité est donc importante.

Qu’est ce qui a motivé l’union sacrée entre les différents acteurs ? Est-ce la première fois ? A-t-on vu une cellule de crise se constituer ? Un vrai travail commun ou chacun pour soi ?

Le chercheur à l’origine de la découverte a contacté les acteurs concernés, qui ont mis au point les correctifs nécessaires, et l’annonce publique a été coordonnée.

Cela préfigure-t-il une nouvelle approche sécurité réseaux entre acteurs du Web ? Ce type de schéma de collaboration pourrait-il se répéter ? Vers une gouvernance sécurité IT ?

Cette vulnérabilité met en lumière la nécessité d’une plus grande collaboration entre les acteurs du monde de l’Internet autour du sujet de la sécurité. A ce titre, la création de l’ICASI, organisation à but non lucratif fournissant une plateforme d’échanges autour de la sécurité sur Internet pour les acteurs IT, est une avancée. L’ICASI, qui signifie « Industry Consortium for the Advancement of Security on the Internet », a été crée à l’initiative de Cisco, IBM, Intel, Juniper et Microsoft, et permettra de collaborer et d’adresser de façon proactive les nouvelles menaces.

Quelles conséquences pour les entreprises ? Faut-il que toutes les entreprises patchent ?

Les attaques d’empoisonnement des caches DNS ne sont pas nouvelles, et sont depuis longtemps utilisées (entre autres) pour des tentatives de phishing. Ce qui est nouveau, par contre, c’est la facilité avec laquelle elles pourraient être menées. Il est donc critique que les organisations concernées, dont le serveur DNS est vulnérable, valident les correctifs publiées par les éditeurs et donc patchent rapidement. En ce qui concerne les équipements Cisco, certaines versions d’IOS (mais également de trois autres produits) sont vulnérables lorsque le serveur DNS est activé, ce qui, pour la majorité, n’est pas le cas par défaut : Des correctifs sont bien évidemment disponibles sur cisco.com. Tous les détails sont publiés ici.

Comment s’assurer que les risques sont réduits au sein des entreprises ?

Il faut bien évidemment identifier les services vulnérables, valider et déployer les correctifs. Mais il existe également quelques techniques disponibles pour minorer le risque, comme par exemple, si c’est possible, minimiser la durée de vie du cache des entrées DNS, voire désactiver ce cache en attendant le déploiement des correctifs. Enfin, d’une manière plus globale, l’exploitation de cette vulnérabilité risquant de générer des attaques de phishing, des systèmes de contrôle du flux web basé sur des filtres de réputation sont également un élément de protection clé. Ils permettent, sur un certain nombre de critères, d’affecter quasiment en temps réel un score de réputation à chaque serveur web. Cette base mondiale, centralisée (SenderBase chez Cisco), est alors utilisée par les équipements de filtrage web (IronPort) pour bloquer les requêtes des utilisateurs sur des sites connus comme étant des sites de phishing ou pour héberger des codes malicieux.

Cette faille a-t-elle été l’objet d’une exploitation par piratage ?

Je n’ai pas d’information à ce sujet.

Le DNS a t il encore des failles d’importance qui pourraient compromettre la sécurité à l’échelle mondiale ?

Encore une fois, les attaques d’empoisonnement des caches DNS ne sont pas nouvelles. Les correctifs énoncés rendent la tache bien plus complexe pour les hackers, mais théoriquement pas totalement impossible. Une évolution des infrastructures DNS pour plus de sécurité devra peut-être être envisagée dans le futur.