AT&T victime de la faille DNS de Kaminsky

les nouvelles.net AT&T victime de la faille DNS de Kaminsky

Le fournisseur d'accès AT&T a subi une attaque par empoisonnement du cache DNS, celle-là même qui a affolé la communauté des experts au début du mois de juillet. Ironiquement, l'attaque visait la société qui emploie H.D Moore. Le hacker bien connu venait justement de publier un exploit pour utiliser cette même attaque.

 

C'est le coup de l'arroseur arrosé. Alors même que H.D Moore venait de publier le premier code d'exploitation pour l'attaque découverte par Dan Kaminsky (contre l'avis de ce dernier, d'ailleurs), des pirates ont menés la même attaque contre BreakingPoint, la société qui emploie Moore.

C'est AT&T, aux Etats-Unis, qui fournit la résolution DNS pour BreakingPoint. L'opérateur n'avait manifestement pas mis à jour ses propres serveurs DNS, car des pirates ont étés en mesure d'empoisonner leur cache DNS. On en sait pas si c'est l'exploit publié par H.D Moore qui a été utilisé ici, mais le résultat est le même : les pirates étaient en mesure de diriger silencieusement le trafic de n'importe quel client AT&T de la région d'Austin, au Texas, vers la destination de leur choix.

Leur cible n'était semble-t-il pas uniquement la société BreakingPoint, car tous les clients étaient affectés. Les serveurs DNS internes de la société faisaient tout simplement suivre leurs requêtes à ceux de son FAI, et c'est comme ça que les employés de BreakingPoint sont tombés dans le panneau. Le pot aux roses a été découvert grâce au sens du détail de certains collègues et amis, qui ont remarqué que le logo de Google n'avait pas changé au bureau, alors qu'il avait été mis à jour à la maison (le moteur de recherche célébrait hier le cinquantième anniversaire de la NASA).

Concrètement, lors de cette attaque les utilisateurs se voyaient redirigés vers une copie da la page de Google chaque fois qu'ils tentaient d'accéder au moteur de recherche. La copie affichait l'interface originale de Google dans un cadre, mais aussi d'autres cadres cachés destinés à cliquer automatiquement sur des publicités. Publicités pour lesquelles, bien entendu, les pirates sont probablement rémunérés au clic.

D'après Dan Kaminsky, bien que les administrateurs de serveurs DNS aient massivement corrigés leurs serveurs, trop sont encore vulnérables. Il aurait confirmé que de telles attaques sont désormais courantes, sans toutefois donner de détails.

Une telle attaque, baptisée
pharming, représente l'arme ultime pour les pirates adeptes du phishing : elle est totalement invisible pour les internautes qui en sont victimes, car elle demeure efficace même si leur PC est parfaitement à jour de ses correctifs, correctement protégé et qu'ils entrent eux-même l'adresse de, par exemple, leur banque en ligne. La faille se situant hors de portée de l'utilisateur, sur le serveur DNS dont il dépend, l'internaute est totalement incapable de lutter, sauf à déceler, par exemple, des anomalies telles que celle du logo de Google ou des incohérences dans les certificats numériques de ses sites réguliers.  

par Jerome Saiz

Agenda

July 2020
M T W T F S S
29 30 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 1 2