ChezFab

Nouvelle définition qui vous permettra de mieux appréhender la sécurité informatique.

Cet article continue sur le chemin des communications entre ordinateurs. Nous avons vu dans l’article précédent comment les ordinateurs pouvaient se trouver les uns les autres avec une IP.

Nous allons donc maintenant étudier comment nous pouvons facilement retrouver un ordinateur sur Internet grâce au mécanisme de DNS et bien sûr, voir les risques que cela induit.

Les pages blanches d’Internet

Si on peut faire une analogie entre une adresse IP et une adresse postale, on peut aussi voir le DNS comme un annuaire. En effet, vous ne connaissez pas par coeur toutes les adresses des gens et entreprises que vous connaissez. Mais vous avez un moyen de les retrouver.

Sur Internet, c’est la même chose. Vous ne connaissez certainement aucune adresse IP Internet, vous ne connaissez que des noms associés. Par exemple, vous vous rappelez de www.google.fr mais pas 74.125.39.105. C’est grâce au service DNS qui associe les noms de domaine à des adresses IP.

Lorsque vous vous connectez à Internet, soit vous avez renseigné vous même l’adresse IP d’un DNS (il y a de moins en moins à le faire avec les box), soit votre ordinateur a récupéré automatiquement la ou les IP d’ordinateurs répondant à ce service. Souvent ils sont installés par votre fournisseur d’accès, ce qui permet de les joindre rapidement (car ils ne sont pas loin). Ensuite, les différents logiciels de votre ordinateur peuvent faire des requêtes pour avoir l’adresse IP correspondant à un domaine.

Mais il est possible de compromettre ce système

Mais quel rapport avec la sécurité alors ? Le problème est le fonctionnement même de ce service. En effet, prenons un annuaire téléphonique papier et imaginons que vous déménagiez en début d’année. Si je veux vous piéger et sachant que les annuaires papier ne sont redistribués qu’une fois par an, il me suffit de relouer l’appartement que vous quittez et de laisser votre nom sur la boîte aux lettres. Ainsi, toutes les lettres qui viendront à votre nom rentreront en ma possession.

Mais encore pire, si j’arrive à modifier les données du fournisseur de l’annuaire au moment où il imprime la version papier, alors dans tous les annuaires il y a aura une adresse dont j’aurai le contrôle jusqu’à une réédition. On voit donc que laisser fournir une donnée chez tout le monde comporte des dangers.

Un annuaire « d’origine » répliqué des milliers de fois

Pour le DNS, ces dangers se retrouvent aussi. En effet, il n’y a que quelques serveurs DNS (appelés « racines ») qui sont l’autorité et qui référencent tous les noms de domaines du monde. Ensuite, les DNS de votre fournisseur d’accès, lorsqu’ils ont fait une demande, stockent le résultat. Et pendant une durée variable (généralement quelques heures) ils ne referont pas de demande aux serveurs racines mais utiliseront la valeur qu’ils ont stockée.

Premier problème, si j’arrive à pirater le DNS de votre FAI, le DNS renverra la valeur que je veux à tous les abonnés. Cependant, les accès sont généralement bien faits et ces serveurs sont difficilement piratable. Je peux aussi attendre le moment où le DNS redemande l’IP d’un domaine à un serveur racine pour répondre à sa place. Là encore, des mécanismes de limitation ont du être mis en place pour éviter que n’importe qui puisse se faire passer pour le serveur racine, car il n’y a pas de mécanisme d’authentification.

Et ces « caches » (informations stockées pour éviter de les redemander juste après) sont aussi utilisés par votre ordinateur, puis encore par votre navigateur afin de ne pas refaire tout le temps des requêtes aux DNS de votre FAI.

Mais alors quelles solutions ?

Bref, ce protocole est loin d’être sûr malgré le fait qu’il est la pierre angulaire d’Internet. Néanmoins, à l’heure actuelle, il n’existe pas de solution simple pour éviter d’arriver sur une mauvaise adresse IP.

Une solution consiste à avoir sur son réseau interne un ordinateur pour héberger ce service. Il sera moins exposé que ceux de votre FAI ou d’autres DNS publics. Il faudra néanmoins configurer les ordinateurs pour qu’ils n’utilisent plus ceux de votre FAI.

Il existe une version sécurisée du protocole (DNSSEC) où tous les acteurs sont authentifiés de manière fiable. Mais il est complexe à mettre en œuvre et tarde à se répandre. Bref, il est déjà bon de savoir que la page qui s’affiche après que vous ayez tapé votre URL ne viendra pas forcément du site en question, même si les cas de piratage des caches DNS restent rares.