Faille DNS, il y a urgence à patcher

En début d'année, Dan Kaminski, expert en sécurité chez IOActive, découvre une vulnérabilité majeure dans la gestion des adresses internet (DNS, Domain Name System), utilisées par chaque ordinateur connecté au réseau pour mettre en relation les noms des sites et les pages de données stockées sur des serveurs. Cette faille peut être exploitée par des personnes malveillantes pour s'emparer de données personnelles de consommateurs en les redirigeant vers des sites pirates lors de leur navigation sur le web.

Aussitôt alertés, c'est dans le plus grand secret que les géants de l'internet se sont mobilisés pour corriger cette grave faille de sécurité. Alors que Kaminsky commençait immédiatement à  travailler sur un correctif, les ingénieurs des éditeurs partout dans le monde se sont réunis sur le campus de Microsoft en mars pour coordonner leurs solutions et se sont mis d'accord pour délivrer les rustines de façon synchronisée pour minimiser le risque que des individus malveillants profitent de la faille avant que tous les patchs ne soient délivrés.

Dan kaminski avait en outre prévu de donner les détails de cette faille le 6 août prochain, lors de la conférence des Black Hat qui doit se tenir à Las Vegas, laissant ainsi un délai aux entreprises pour mettre à jour leurs systèmes.

Mais voilà que, l'internet étant ce qu'il est, les détails du trou de sécurité ont été étudiés sur le blog de Halvar Flake, P-DG de la société Zynamics, qui a émis des hypothèses quant à son exploitation possible, et ce bien que Kaminski ait demandé de, justement, ne pas spéculer sur le problème. Indiscrétion volontaire ou pas, le billet a toutefois été repris et complété par une personne de la société Matasano Security. La firme a immédiatement supprimé le message de son propre blog dès qu'elle s'est rendue compte de l'implication d'une telle publication. Mais trop tard ! S'il en était encore besoin, les spéculations de Flake ont été confirmées et les pirates sont maintenant au fait de la méthode d'exploitation de cette faille DNS.

"Il semble qu'après mes spéculations précédentes quelques situations imprévues sont arrivées :
    *Apparemment, mon billet, bien que partiellement incorrect, était proche de la vérité
    * Une partie tierce a posté accidentellement tous les détails de ce problème en corrigeant mes erreurs. Rapidement, le message en question a été supprimé mais il a été indexé par les moteurs de recherche", commente Flake.

Suite à la publication des détails sur son blog, Thomas Ptacek, dirigeant de Matasano, a présenté ses excuses à Dan Kaminski, affirmant que le message avait été publié par erreur et le regrettant. "Malheureusement, il ne faut que quelques secondes pour que les publications sur Internet se propagent", déplore-t-il en appelant à appliquer les correctifs publiés par les éditeurs de toute urgence.

Le temps est désormais compté et Dan Kaminski ne mâche pas ses mots : "Corrigez.  Aujourd'hui.  Maintenant. N'attendez pas. Passez par OpenDNS si vous pouvez (Ils sont prêts pour votre trafic). Merci aux nombreuses personnes qui l'ont déjà fait".