Sécurité des infrastructures DNS

Date :22 Juin 2005

Publication: Article

En octobre dernier, la société "Network Penetration" publiait les résultats de sa seconde campagne de test pour les serveurs DNS du domaine ".uk" (Royaume-Uni).

L'objet de ce test était de mesurer combien de serveurs DNS du premier et second niveau (serveur du domaine ".uk" et de tous les sous-domaines du type "xxx.uk") autorisaient le "transfert de zone" (c'est-à-dire la copie intégrale, depuis n'importe quelle machine distante, de toutes les données gérées par le serveurs DNS). Il en ressort que 20% de ces serveurs autorisent le "transfert de zone", ce qui constitue une faille de sécurité.

Il est vrai (et c'est l'argumentaire le plus souvent avancé par les "fautifs") que les données stockées dans un serveur DNS de second niveau (par exemple "co.uk") ne peuvent pas être considérées comme des données confidentielles, et qu'autoriser le "transfert de zone" dans ce cas est équivalent (en terme de risque) à publier un annuaire des sites Web. De notre point de vue cependant, il n'y a pas lieu d'autoriser le "transfert de zone" ici, et le faire (si cela ne constitue pas un réel problème de sécurité) relève avant tout d'un manque de conscience sécurité.

D'ailleurs, le même type de test avait été réalisé par la même société en début d'année 2003, et c'est alors 80% de ces mêmes serveurs DNS ".uk" qui autorisaient le "transfert de zone". En moins d'une année, la situation s'est donc largement améliorée.

Les serveurs DNS constituent une infrastructure vitale au fonctionnement de l'Internet, et la sécurisation des "tops domains" (les serveurs racines situés "au dessus" des domaines ".com", ".edu", ".fr", etc…) est une nécessité sur laquelle s'accorde toute la communauté sécurité. On se rappelle d'ailleurs, qu'en octobre 2002, une tentative d'attaque en déni de service de 9 des 13 serveurs DNS racines avait eu lieu (cf. l'information CERT-IST/IF-2002.010 publiée alors par le Cert-IST). Si cette attaque n'avait pas vraiment mis en danger Internet (il s'agissait d'un "flooding ICMP" et la pose de filtres en amont avait permis rapidement de contrer l'attaque), elle avait fait naître de sérieuses inquiétudes sur la vulnérabilité potentielle de cette infrastructure. Les actions de réflexion et de sécurisation des serveurs DNS racines ont été menées à bien depuis.

Au niveau des serveurs de 1er niveau (par exemple ".fr" ou ".uk"), peu d'études ont été publiées sur la sécurité effective des serveurs DNS en place. L'initiative de la société "Network Penetration" mériterait donc, selon nous, d'être étendue à d'autres domaines.

Pour plus d'information :