L'expert en sécurité
informatique
L'empoisonnement du DNS, ou le nom ne fait pas le site 3/9

2. Le cache poisoning

Afin de ne pas redemander systématiquement les noms les plus utilisés, les DNS maintiennent un cache. Ce cache sert à accélérer les réponses aux stations clientes du DNS. En effet si le DNS demande l'adresse d'Ebay ou de Google (ce qui arrive très souvent dans une entreprise) il ne sert à rien de poser systématiquement la question directement au serveur DNS de Google ou d'Ebay. En effet l'adresse de ces serveurs à peu de chance de varier sur une courte période ou cela est exceptionnel. Afin donc de ne pas surcharger le système et d'accélérer les réponses, la réponse est stockée dans le cache du DNS local. Le but de l'empoisonnement est de fausser ce cache !

En 1993, Christophe Schuba, Ingénieur chez SUN, professeur et participant à l'IEEE, a été le premier à alerter les administrateurs sur le problème du « DNS cache Poisoning ». Il s'agissait d'envoi d'informations surnuméraire à une requête adressée à un DNS. Les informations supplémentaires peuvent être stockées dans le cache, c'est-à-dire une mémoire tampon, du DNS l'incitant, lors des requêtes suivantes, à répondre de façon erronée Le nom de domaine ou la machine demandée est alors remplacé par un autre nom ou une autre machine.

En 1997, le CERT publie une alerte indiquant que les numéros de séquence des réponses sont devenus « prédictibles » pour les attaquants. Ces numéros de séquence servent à organiser les paquets participants à une requête DNS. Ceux-ci avaient la possibilité de répondre à la place du serveur DNS. Le logiciel de DNS BIND, de loin le plus répandu, incrémentait de 1 le numéro des transactions à chaque nouvelle requête. Il suffisait donc à l'attaquant d'essayer des numéros de séquence (1, 2, 3, 4, 5, etc .), pour trouver rapidement le bon et marquer ces paquets avec le numéro correspondant, à ce stade, il pouvait facilement s'insérer dans la conversation et tromper le DNS en lui renvoyant de fausses informations.

 

Bon à savoir :
La Gestion de la Maintenance Assistée par Ordinateur permet la rationnalisation des coûts d'exploitation. La GMAO permet de gêrer toutes les opérations, de la plannificiation à la réception, de la demande de maintenance à la facturation. La sécurité informatique est plus affaire de bon sens et d'organisation que de technologie. Un audit de sécurité devrait être mené sur toute plateforme qui sera rendu accessible avant sa mise en production. L'audit de sécurité peut être "ouvert" en whitebox avec mise à disposition des accréditations ou des sources, ou "fermé" en blackbox. Un audit de sécurité peut être partiel ou exhaustif selon le besoin du client, mais il est avant tout collaboratif. L'utilisateur est à la fois celui qui fait peser le plus de risques de sécurité informatique sur le SI et son meilleur rempart s'il est sensibilisé.
© NBS System 2000-2007. Tous droits réservés. Entreprise spécialisée dans la sécurité informatique. Nous vous proposons des prestations telles que l'audit de sécurité ou encore le test d'intrusion.