France Télécom, mouton noir de la configuration des DNS ? 

Le 16 novembre 2009 (15:41) - par Valery Marchive

Imprimer Envoyer par e-mail

Rubriques : Haut débit / Accès Internet - Sécurité Tags : securite - france-telecom - dns - ddos - livebox - infoblox

On pouvait croire Internet tiré d’affaire, protégé de toute menace sur ses serveurs DNS, clé de voûte de toute son architecture logique assurant la traduction entre adresses canoniques (truc.machin.fr) et adresses IP. Selon Infoblox, il n’en est rien. Le spécialiste des plates-formes DNS, DHCP et plus généralement de gestion de l’adressage IP, tire la sonnette d’alarme : près de 80 % des serveurs DNS – en tout, on en compte plus de 16 millions – sont ouverts à la récursivité (ouvrant la porte à des attaques par déni de service), soit 27 % de plus qu’il y a deux ans. Une progression due principalement au développement des équipements domestiques assurant le relais et la mise en cache local des informations DNS, comme les box des opérateurs. Ces serveurs peuvent être utilisés pour lancer des attaques massives par déni de service (DDoS).

Dans un entretien accordé à nos confrères de Computerworld, Cricket Liu, vice-président d’Infoblox chargé des questions d’architecture, pointe deux mauvais élèves : Telefonica et France Télécom.

Sur son blog, Liu Cricket reprend une explication, avancée par Geoff Sisson, de The Measurement Company, qui a conduit l’étude dont les résultats sont publiés par Infobloc : « c’est dû au large déploiement du démon (agent logiciel résident qui fonctionne en continu) du Trick or Treat (ou totd, utilisé notamment dans le cadre d’une préparation à la migration d’IPv4 vers IPv6, NDLR) ; c’est un proxy DNS qui transmet directement les requêtes DNS provenant de réseaux IPv6. Plus de 99,9 % des hôtes faisant fonctionner totd sont en France et 92 % de ces hôtes sont sur AS 3215 », le backbone IP de France Télécom.

livres blancs avec LesSourcesIT.fr

Sécuriser les terminaux mobiles des utilisateurs dans l’entreprise

Les appareils mobiles, tels que les smartphones et les tablettes tactiles, permettent à un nombre croissant d’employ…


L’efficacité opérationnelle et la réduction des coûts grâce à une approche intégrée de la veille sécuritaire

La mise en place d’un programme de veille sécuritaire efficace au sein d’une organisation n’est pas à prendre à…

vues 1671 lectures commentaire 5 commentaire(s) recommandation notez cet article
0
Les commentaires

Réagissez à cet article

Votre Pseudo

Commentaire

Pertinence du commentaire : 0
Par Gourmet
 Le 16/11/2009 à 17:56
Je pense qu'il y a des confusions dans l'article.
Tout d'abord le côté serveur : il est tout à fait légitime qu'un serveur accepte des requêtes récusives . Cela fait partie d'Internet et des RFC spécifiant le DNS. Il est toutefois recommandé d'en faire un usage respectueux (fair use).
Partant il est tout à faitlégitime qu'un client se repose sur son serveur pour réaliser ses requêtes (récursivité) plutôt que de le faire lui- même (itératif). Les box ne sont tout de même pas des monstres de puissance !
Alors donc que nous apprend cet article ?
Que Orange a le plus grand nombre de clients DNS !
On s'en serait douté.
Db
Noter ce commentaire
Pertinence du commentaire : 4
Par Valéry Marchive
 Le 16/11/2009 à 22:52
Infoblox souligne surtout la question des box (et des Livebox, en particulier) qui intègrent non seulement un serveur DNS chargé de faire du proxying pour les clients branchés en NAT derrière elles mais qui, selon Infoblox, semblent répondre aussi aux requêtes DNS externes sans le moindre discernement. Le tout conjugué - ou sous l'influence de totd.
Ce qui est relevé par The Measurement Company ne touche donc pas aux serveurs DNS du réseau de FT mais à ceux, plus modestes certes en termes de capacité mais assurément bien plus nombreux, de ses Livebox.
Noter ce commentaire
Pertinence du commentaire : 5
Par Gourmet
 Le 17/11/2009 à 10:48
"semblent répondre aussi aux requêtes DNS externes sans le moindre discernement."
Ah, effectivement ça c'est davantage une info !

Mais il fallait sans doute lire l'article original pour découvrir cette *** FAIBLESSE *** car, à la lecture de l'article ci-dessus, ça n'apparaît pas.

Ce n'est tout de même pas très compliqué de restreindre la liste des clients potentiels d'un daemon. Bref, on ne va pas revenir sur le sujet de la sécurité vue par les GROS fournisseurs, n'est ce pas ? Déjà qu'en IPv4 ce n'est pas joyeux faut trop leur en demander en IPv6 !

Par ailleurs quant on connaît les faiblesses du contrôle d'accès d'autres BOX (celles de ByT par exemple), verrouiller la liste des adresses IP (v4 ou v6) susceptibles d'utiliser un daemon ne sert, in fine, pas à grand chose.
Cela explique peut-être ceci ...

Souvenons-nous, malgré tout, qu'une nouvelle loi dont les décrets sont en cours de rédaction, impose un DEVOIR de protection des accès Internet par leur abonné sous peine de délit de négligence (caractérisée il est vrai).
On imagine mal Mme Michu disposer des compétences pour expliquer que ce n'est pas elle mais son fournisseur qui est en tort.
Les mois qui viennent vont donc être réjouissants.

db
Noter ce commentaire
Pertinence du commentaire : 0
Par dbug
 Le 17/11/2009 à 11:38
Je pense quand même que Madame Michu ne va pas dire que c'est sa très grande faute, et il y a des chances que le juge comprenne vite que la sécurité des box incombe au FAI par défaut ...
Noter ce commentaire
Pertinence du commentaire : 5
Par rom1
 Le 18/11/2009 à 16:02
Bonjour Gourmet, comme l'a parfaitement bien résumé Valéry Marchive dans son commentaire, le problème rencontré est qu'il est possible depuis Internet d'utiliser les adresses IP des Box des abonnés d'Orange comme serveur DNS, aussi bien pour des requêtes DNS IPv4 que IPv6.

A quoi cela peut-il servir ? Qu'est cette possiblité technique des Box Orange permet ?

1 - A avoir un joli réseau de bot DNS disponible sur Internet (très utile pour les attaques de deny de service DNS...)
2 - A empoisonner les caches DNS des abonnées Orange (DNS pharming) et ainsi les orienter vers de fausses pages web (phishing) ...

Pour rester constructif, il est juste fortement souhaitable qu'Orange et son fournisseur corrigent rapidement cette faille et mettent à jour le firmware de son parc de Box. --> En vaccinant ses Box contre cette grippe D(ns), Orange contribuera à protéger tous les Internautes...

PS : je suis abonné ADSL Orange, mais sans Box, ... et donc je n'ai pas besoin de me faire vacciner contre la grippe ! ;)
Noter ce commentaire
Toute l'actualité
Aujourd'hui rss Sur le même
sujet Du même
auteur
publicité
Les plus populaires
Les plus lus Les mieux
notés Les plus
commentés
publicité
Les dossiers du MagIT
Tous les dossiers du MagIT...

Les économies de stockage à travers une architecture unifiée


Beaucoup d’organisations ont fait le choix du stockage « unifié » à travers les systèmes Multiprotocol storage systems (MPS). Avec la croissance exponentielle du nombre de d…

Virtualisation : bénéfices, défis et solutions


Alors qu’il existe différentes voies en matière de virtualisation ce document se concentre sur 3 approches : serveurs, postes de travail et appliances. L’un des motifs de cet…
livres blancs avec LesSourcesIT.fr
Recevez les newsletters du MagIT
L'essentiel IT : L'actu IT au quotidien
événements

TechDays 2012 : développeurs et projets en avant

1 2 3 4 5   
Sans frontière

Presse IT

Evénements

blogs

Presse

Click Here