Quel est le point commun entre americanexpress.com, fedex.com, msn.com ou trendmicro.com ?Le trafic vers tous ces sites – et quelques milliers d’autres- a récemment été détourné par des pirates, avec tous les emails qui leurs étaient destinés. Incroyable ? Ce n’est pourtant que la partie visible de l’iceberg que les spécialistes découvrent aujourd’hui avec stupéfaction : depuis la fin du mois de février 2005 trois attaques majeures se sont succédées contre les serveurs DNS de nombreuses sociétés. Elles ont permis de détourner les milliers d’internautes qui dépendaient de ces services DNS vers deux sites publicitaires, ainsi que le courrier et tout le trafic qui leur était destiné (connexions SSH, etc…).Baptisées « DNS pharming », ces attaques cherchent à forcer des serveurs DNS légitimes afin de diriger leurs internautes vers des sites choisis par les pirates, quelles que soient les adresses qu’ils demandent.Face à une telle attaque, l’internaute est impuissant : s’il dépend d’un serveur DNS qui s’est laissé piéger (celui de son entreprise par exemple), il aura beau disposer d’un Windows ultra-sécurisé, chaque fois qu’il entrera une adresse que les pirates ont choisi de détourner (et dans la dernière attaque en date, toutes les adresses en .com l’étaient !), il atterrira sur un site appartenant au pirate au lieu de l’original. Le principe n’est pas tout jeune (c’est le bon vieux DNS poisonning à la sauce phishing), mais il n’avait encore jamais été exploité à une telle échelleLes trois attaques qui se sont succédées depuis la fin février visaient entre 500 et 1000 sociétés qui disposent de leurs propres serveurs DNS. Elles concernaient donc essentiellement leurs propres employés. Mais cela représente malgré tout plusieurs milliers d’internautes abusés.Concrètement, la première attaque redirigeait les victimes vers un site web qui tentait d’installer un spyware sur leur machine, via une faille d’Internet Explorer. La seconde les amenait vers un site publicitaire (sans spyware celui-ci !) d’achat de médicaments en ligne. La troisième, enfin, reprenait le principe de la première. Lors de chaque attaque, les internautes entraient donc l’adresse d’un site web quelconque en toute confiance et atterrissait… ailleurs !Toutes ces sociétés ont pu être compromises grâce à une faiblesse de l’installation par défaut du serveur DNS de Windows NT4 et 2000. Les attaques actuelles ne concernent donc que les serveurs DNS sous Windows, ce qui met la grande majorité des internautes à l’abris : la plupart des fournisseurs d’accès et des gens sérieux avec leur DNS le font fonctionner sous un Unix quelconque, avec le logiciel Bind (qui a largement eu son lot de vulnérabilités en son temps, mais qui est désormais considéré comme fiable).Il semblerait cependant qu’outre la faiblesse de Windows, certaines victimes aient vu leur serveur DNS compromis par le biais d’une faille récemment découverte dans la passerelle de sécurité et les pare-feu de l’éditeur Symantec.Aujourd’hui, ces attaques choquent surtout par leur ampleur. Mais elles sont encore bien gentilles : les internautes se rendent vite compte que quelque chose ne va pas lorsqu’ils atterrissent toujours sur le même site quelle que soit l’adresse qu’il tapent ! Ces attaques là visaient donc des objectifs à court terme : diffuser un maximum de spywares, détourner un maximum de trafic vers un site de vente en ligne… rien de très subtil.En revanche, et c’est là que les choses pourraient devenir inquiétantes, si une telle attaque se contente de ne détourner qu’une poignée d’adresses web, et de renvoyer vers les bons sites pour toutes les autres, elle serait largement plus difficile à détecter. Et si parmi la poignée d’adresses détournées se trouve celle d’une banque en ligne, qui pointe vers une copie parfaite montée par le pirate, il s’agirait là du phishing ultime.Et contre cette attaque là, point d’espoir : les grigris anti-spyware en tout genre seront inutiles. Mieux vaut convaincre le responsable informatique de votre entreprise de se pencher sur la configuration de son serveur DNS ! Mise à jour du 08/04/2005 :Microsoft précise que toutes les versions de Windows encore supportées ne sont pas concernées par ce problème. Ne sont donc concernés que les Windows NT4 et 2000 SP2. Mais l’éditeur propose malgré tout sur son site des solutions capables d’aider à la résolution de ce problème pour les utilisateurs de ces plateformes.En outre, des informations complémentaires sur la sécurisation du service DNS de Windows sont désormais disponibles sur le site de l’ISC à l’adresse http://isc.sans.org/diary.php?date=2005-04-07.