Cisco France: « Les attaques d’empoisonnement des caches DNS sont plus faciles à mener »

Cloud

Le responsable du marché de la sécurité chez Cisco France revient sur la faille DNS béante qui vient d’être réparée par les plus grands éditeurs.

Vnunet.fr et Silicon.fr (groupe NetMediaEurope) vous proposent une interview de Christophe Perrin, responsable du marché de la sécurité chez Cisco France. Le représentant du fournisseur de solutions réseaux revient sur la mobilisation des éditeurs face à la faille DNS qui vient d’être réparée. (Interview réalisée le 10 juillet)

Vnunet.fr : Pourrait-on avoir des détails techniques sur la faille et son niveau de gravité réelle ?
Christophe Perrin : Les implémentations des serveurs DNS de multiples vendeurs contiennent une vulnérabilité qui, en cas d’exploitation, pourrait permettre à une personne malveillante de conduire des attaques d’empoisonnement des caches DNS (modification des correspondances adresse IP – nom). Cette vulnérabilité est liée à une entropie insuffisante lors de la génération d’une requête récursive par le serveur : En effet, chaque requête contient un identifiant (généré aléatoirement) qui permet de faire correspondre la réponse lorsqu’elle est reçue. Si un attaquant peut deviner cet idenfiant, il peut alors forger une réponse malveillante. Cette attaque peut être utilisée à des fins de phishing, la vulnérabilité est donc importante.

Vnunet.fr : Qu’est ce qui a motivé « l’union sacrée » entre les différents acteurs ? Peut-on parler de vrai travail commun ?
Christophe Perrin : Le chercheur à l’origine de la découverte a contacté les acteurs concernés, qui ont mis au point les correctifs nécessaires, et l’annonce publique a été coordonnée.

Vnunet.fr : Cela préfigure-t-il une nouvelle approche sécurité réseaux entre acteurs du Web ?
Christophe Perrin : Cette vulnérabilité met en lumière la nécessité d’une plus grande collaboration entre les acteurs du monde de l’Internet autour du sujet de la sécurité. A ce titre, la création de l’ICASI, organisation à but non lucratif fournissant une plate-forme d’échanges autour de la sécurité sur Internet pour les acteurs IT, est une avancée. L’ICASI, qui signifie Industry Consortium for the Advancement of Security on the Internet, a été crée à l’initiative de Cisco, IBM, Intel, Juniper et Microsoft, et permettra de collaborer et d’adresser de façon proactive les nouvelles menaces.

Vnunet.fr : quelles conséquences pour les entreprises ? Faut-il que toutes les entreprises effectuent des patches ?
Christophe Perrin : Les attaques d’empoisonnement des caches DNS ne sont pas nouvelles, et sont depuis longtemps utilisées (entre autres) pour des tentatives de phishing. Ce qui est nouveau, par contre, c’est la facilité avec laquelle elles pourraient être menées. Il est donc critique que les organisations concernées, dont le serveur DNS est vulnérable, valident les correctifs publiées par les éditeurs et donc patchent rapidement. En ce qui concerne les équipements Cisco, certaines versions d’IOS (mais également de trois autres produits) sont vulnérables lorsque le serveur DNS est activé, ce qui, pour la majorité, n’est pas le cas par défaut : Des correctifs sont bien évidemment disponibles sur Cisco.com (tous les détails sont publiés ici.)

Vnunet.fr : Comment s’assurer que les risques sont réduits au sein des entreprises ?
Christophe Perrin : Il faut bien évidemment identifier les services vulnérables, valider et déployer les correctifs. Mais il existe également quelques techniques disponibles pour minorer le risque, comme par exemple, si c’est possible, minimiser la durée de vie du cache des entrées DNS, voire désactiver ce cache en attendant le déploiement des correctifs. Enfin, d’une manière plus globale, l’exploitation de cette vulnérabilité risquant de générer des attaques de phishing, des systèmes de contrôle du flux web basé sur des filtres de réputation sont également un élément de protection clé. Ils permettent, sur un certain nombre de critères, d’affecter quasiment en temps réel un score de réputation à chaque serveur web. Cette base mondiale, centralisée (elle s’appelle SenderBase chez Cisco), est alors utilisée par les équipements de filtrage web (IronPort) pour bloquer les requêtes des utilisateurs sur des sites connus comme étant des sites de phishing ou pour héberger des codes malicieux.

Vnunet.fr : Cette faille a-t-elle été l’objet d’une exploitation par piratage ?
Christophe Perrin : Je n’ai pas d’information à ce sujet.

Vnunet.fr : Le DNS a-t-il encore des failles d’importance qui pourraient compromettre la sécurité à l’échelle mondiale ?
Christophe Perrin : Encore une fois, les attaques d’empoisonnement des caches DNS ne sont pas nouvelles. Les correctifs énoncés rendent la tache bien plus complexe pour les hackers, mais théoriquement pas totalement impossible. Pour plus de sécurité, une évolution des infrastructures DNS  devra être envisagée dans le futur.

Retrouvez également l’éclairage très intéressant de Mauro Israël. Cet expert en sécurité et professeur en télécommunications et en intelligence économique est interrogé à propos de la faille DNS qui a mobilisé tous les éditeurs (voir article de Silicon.fr daté du 9 juillet).