Il y a quelques semaines, la presse s’emparait avec l’engouement médiatique habituel, de la récente “nouvelle” vulnérabilité dns, découverte par Dan Kaminsky. Cette faille, présentée comme la nouvelle épée de Damocles de ce monde numérique, pourrait mettre en danger le web tout entier. Oui mais…
Cette histoire me rappelle, l’autrement différente mais comparable attaque qui avait eu lieu contre les serveurs “racine” (Root Servers) sur lesquels repose en partie le fonctionnement de traduction d’adresses offert par le système DNS. Il y avait eu autant de bruit… pour pas grand chose encore : on pouvait “arrêter internet”. Oui et ? Et rien justement ; le fonctionnement d’Internet, dans son ensemble, repose sur une colonne vertébrale à la solidité plus proche du verre que du carbone. Ce n’est pas nouveau, et il existe des moyens beaucoup plus efficaces que de s’adresser aux serveurs racines pour en perturber le fonctionnement…
A la lecture des nombreux articles parlant de cette nouvelle vulnérabilité DNS, on y apprend qu’il s’agit simplement de l’application d’une technique de cache poisonning DNS. C’est une attaque en effet efficace… utilisée depuis plus de 10 ans, dans le cadre par exemple, de tests d’intrusion, ou expliquée dans le cadre de cours que j’ai eu l’occasion de dispenser pour un Opérateur Historique ou certains de nos ministères…
En effet, le protocole DNS a toujours été vulnérable aux attaques de type cache poisonning, ce n’est pas nouveau, même si son exploitation a, visiblement, été facilitée. C’est d’ailleurs l’une des raisons de la création du protocole DNSSEC, qui résoud en grande partie le problème sur le fond. Ce problème, comme de nombreuses autres vulnérabilités, est inhérent au fonctionnement et à la conception du réseau Internet et de la suite de protocoles TCP/IP, ni plus, ni moins. Cette “vulnérabilité”, représente surtout un risque pour l’utilisateur final mal renseigné, mais, dans la pratique, pas beaucoup plus qu’un virus ou un ver s’amusant à modifier les fichiers hosts des utilisateurs, avec un effet similaire.
Quoi de neuf là dedans ? A vrai dire, pas grand chose. Du réchauffé, de chez réchauffé, sans odeur et sans saveur, comme d’habitude dirons-nous : c’est ce qui se pratique depuis des lustres par les “médiatechnologues” de la sécurité. Alors que de nombreux routeurs composants le backbone internet utilisent encore des piles tcp/ip avec des numéros de séquence totalement prédictibles, qu’il est possible d’hijacker n’importe quelle connexion utilisant un protocole standard (ftp, email, web…), d’accéder de manière non autorisée au courrier électronique, le falsifier à la volée, ou encore récupérer en quelques clics dans un navigateur des banques de données complètes contenant des millions de logins et de passwords, et d’informations bancaires (numéro de CB, date d’expiration, nom du porteur…), cette faille DNS amène t’elle vraiment le chaos annoncé ?
La réponse est non, bien entendu. Pourquoi ? Tout simplement parce que 100% des systèmes d’information sont piratables, et ce depuis toujours, et le resteront probablement encore pendant quelques décennies. Les raisons en sont toutes simples : les ordinateurs sont “pensés” par des humains imparfaits, fabriqués par des machines conçues imparfaitement (d’ailleurs *tous* les processeurs sont buggués), sur lesquels on installe des système d’exploitation également imparfaits, tournant sur des langages eux mêmes imparfaits… La chaîne est encore longue, pour arriver jusqu’à l’applicatif utilisateur… et l’utilisateur lui même.
Le problème n’est donc pas de savoir si un système est piratable : il l’est par sa conception même *systématiquement*, il ne s’agit que d’une question de temps et de moyens, tout comme dans le cas d’un coffre fort par exemple. On ferait mieux de se préoccuper d’une vulnérabilité beaucoup plus importante et affectant aujourd’hui les systèmes les mieux protégés, sur lequels il reste possible d’agir, et, exploitable avec des moyens minimums : le facteur humain… Aujourd’hui encore, et pour longtemps je pense, la plus grande vulnérabilité reste située entre la chaise… et le clavier.
