Le problème :
Une faille critique dans les serveurs de noms (DNS) à été rendue publique prématurément, et le code pour l'exploiter à été développé quelques heures après,
également publiquement accessible. Brièvement, quand vous allez sur un site, par ex http://www.google.fr, votre PC demande au serveur DNS de votre fournisseur
d'accès l'adresse IP correspondante. Le serveur DNS vous renvois la réponse, et votre navigateur se connecte sur google (l'opération est transparente).
Vous imaginez bien qu'il serait catastrophique que soudainement au lieu de vous rediriger vers les sites demandés, il vous redirige vers d'autres adresses
IP qui seraient des sites clonés, visuellement identiques, mais appartenant à des pirates (alors que l'URL serait 100% bonne). Imaginez aussi que tous
les mails que vous envoyez ne sont pas envoyés au serveur de mail de votre FAI mais à celui d'un pirate qui les intercepte... plutôt effrayant ? C'est
malheureusement ce qui est maintenant possible, et qui à déjà commencé à être exploité.
La solution :
Le premier point, comme d'habitude, est d'appliquer les mises à jour Windows. Dans celles-ci, une des dernières possède un correctif pour le service DNS de Windows.
Le second point est moins trivial, en effet il faut que votre FAI mette à jour ses serveurs DNS, et vous n'avez pas la main sur ça. Pour tester vos serveurs et savoir
s'ils sont patchés, il y a deux liens à ma connaissances :
http://www.doxpara.com/
-> bouton Check My DNS en haut à droite, si vos serveurs sont ok vous aurez un message "Your name server, at xxx.xxx.xxx.xxx, appears to be safe".
https://www.dns-oarc.net/oarc/services/dnsentropy
-> Test My DNS au milieu, si vos serveurs sont ok vous aurez des messages avec deux "GREAT" par ligne :
1. 208.69.34.4 (bld1.lon.opendns.com) appears to have GREAT source port randomness and GREAT transaction ID randomness.
2. 208.69.34.8 (bld3.lon.opendns.com) appears to have GREAT source port randomness and GREAT transaction ID randomness.
Si vous avez un des "POOR" ou "UNKNOWN", vos serveurs DNS ne sont pas patchés et donc vulnérables. Un "GOOD" est mieux que "POOR", mais
un serveur patché ne doit retourner que des "GREAT".
Si vos serveurs sont patchés, super, c'est terminé, vous êtes à l'abris.
Si vos serveurs ne sont pas patchés, comme solution vous pouvez soit temporairement ou définitivement pointer vers les DNS d'OpenDNS (http://www.opendns.com/), qui sont
protégés contre cette attaque (ils l'étaient avant même que la faille soit connue).
Selon votre configuration matérielle, il faudra soit le rentrer dans votre modem/routeur soit dans votre PC, dans le doute autant le faire dans les deux.
DNS 1 : 208.67.222.222
DNS 2 : 208.67.220.220
Sous XP par ex, Démarrer -> Panneau de configuration -> Connexions réseau, clique droit et Propritété sur votre interface réseau, aller à la ligne Protocole Internet (TCP/IP),
Propriété, et remplir les deux champs DNS en bas.
Les références :
Pour ceux qui veulent lire sur le sujet.
http://www.theregister.co.uk/2008/07/24 ... goes_wild/
http://www.informationweek.com/newslett ... =209401195
http://www.vnunet.com/vnunet/news/22225 ... s-reported
http://www.dslreports.com/forum/r208434 ... -Goes-Wild
http://www.generation-nt.com/faille-dns ... 19481.html
http://www.generation-nt.com/faille-dns ... 28041.html
http://www.silicon.fr/fr/news/2008/07/0 ... a_securite
http://www.zdnet.fr/actualites/informat ... xtor=RSS-1
http://www.clubic.com/actualite-150722- ... edent.html