Serveurs DNS : attention aux détournements prévient l’Afnic

Cloud

L’association en charge de la gestion des “.fr” et “.re” émet une nouvelle alerte sur les risques de manipulation des serveurs DNS. Explications avec un expert.

Toto.monsiteweb.fr cache un code malveillant mais l’éditeur, monsiteweb.fr, n’en savait rien. C’est ce qui pourrait arriver aux internautes si l’on en croit l’Afnic (Association française pour le nommage Internet en coopération) qui souhaite attirer une nouvelle fois l’attention de la communauté Internet française sur les pratiques de Namespace Mangling (manipulation de l’espace des noms de domaine). Selon l’association, ces pratiques seraient de plus en plus courantes mais encore faut-il savoir de quoi il s’agit.

Derrière ce terme technique en apparence simple, se cache une définition un peu plus complexe de cette problématique. “Ce terme désigne la pratique consistant pour un FAI (fournisseur d’accès Internet) ou autre opérateur Internet, à modifier les réponses DNS (Domain Name System) qui passent par ses serveurs”, explique à Vnunet.fr Stéphane Bortzmeyer, architecte réseau à l’Afnic.

Stephane Bortzmeyer précise que “la plupart des utilisateurs se servent des serveurs DNS de leur fournisseur d’accès afin de résoudre des noms comme www.vnunet.fr en adresses IP. Les FAI peuvent donc être tentés de modifier les réponses pour rediriger, par exemple, les utilisateurs vers un serveur web intégrant des publicités.”

Dans le cas le plus courant, les réponses de type « Cette adresse n’existe pas » (parce que l’utilisateur a fait une faute de frappe) sont réécrites en adresse IP d’un serveur du fournisseur, ou d’un tiers. C’est ce que font Earthlink et plusieurs FAI Français.

Un danger pour les internautes

Actuellement, les nombreuses menaces que peut comporter la toile sont en partie détectées par des dispositifs matériels (passerelles UTM) ou logiciels (antivirus, pare-feu, etc.). “Le principal problème de fond est que l’utilisateur ne voit pas la vérité car le serveur DNS de son FAI le trompe. Il ne lui donne pas la réponse que voulait le titulaire du domaine” ajoute l’architecte de l’Afnic.

En schématisant, l’adresse http://machin.lesite.fr n’existe pas, parce que le webmaster du site site.fr ne l’a pas créé. C’est pourtant dans un cas comme celui-ci qu’un serveur qui fait du Namespace mangling donnera à l’utilisateur l’impression que ce nom existe, sans tenir compte de ce que voulait l’éditeur du site.

“Un autre problème pratique est que cette technique empêche les outils de l’utilisateur, choisis et configurés par ce dernier, de réagir correctement comme par exemple en le faisant pointer vers le moteur de recherche de son choix. La manipulation d’espace de noms peut être utilisée pour des attaques contre l’utilisateur” conclut sur ce point Stéphane Bortzmeyer.

Aux yeux des spécialistes, la seule solution possible semble l’installation de DNSSEC sur les serveurs de noms, un mécanisme d’authentification des données. Hélas, malgré son efficacité à interdire toute fraude ou usurpation de noms de domaines, le système est lourd à mettre en place et soulève d’autres difficultés. A commencer par la nécessité par le client de vérifier les signatures cryptographiques de DNSSEC.

Pour l’internaute lambda, la solution serait alors de ne pas utiliser les serveurs DNS du FAI. Mais certains bloquent le port 53 – utilisé justement par le DNS – pour empêcher qu’on évite leurs serveurs.

Une loi pour protéger le consommateur

Au final, la seule possibilité efficace pour éviter que les internautes ne soient piégés, serait peut-être de passer par une intervention du législateur. Stéphane Bortzmeyer ne le cache pas, “il faut plutôt chercher des solutions non techniques, peut-être du côté des lois protégeant le consommateur, en demandant son consentement ou bien en imposant qu’il soit correctement informé avant d’acheter”.

Mais la neutralité technique de l’Internet encadrée par la loi est très difficile à mettre en oeuvre. Les opérateurs et fournisseurs d’accès n’aimant pas particulièrement se voir imposer de nouvelles obligations technico-juridiques, l’information et la vigilance restent pour l’instant la meilleure défense pour les internautes.