Cet article est une publicité pour windows, pas un article technique:
> Il est clair que le problème du phishing est l’élément central de ce type d’attaque.
C'est effectivement un des buts.
> D’ordinaire la parade simple est de réussir à savoir qu’il s’agit bien d’hameçonnage,
Belle lapalissade, ne contenant aucune information.
> Imaginons que le détournement se fasse alors sans intervention humaine, que l’erreur s’instille directement dans la machine, que fait-on ? (silence).
Cette phrase laisse entendre que les "hacks" et les "pishings" se déroulent spontanément. Ce n'est jamais le cas, pour qu'un type pirate un DNS il faut un type pour pirater un DNS (c'est la journée lapalissade).
De plus que les commandes de piratage soient tapées au clavier ou lancées par un script, cela ne change rien.
>En utilisant cette faille, c’est un peu comme si personne n’avait les moyens de se rendre compte qu’un site est devenu malveillant.
En utilisant cette faille, il faut un autre moyen que l'adresse IP du site pour ce rendre compte qu'il est mal veillant.
Ces moyens existent, je vais prendre l'exemple de yahoo mail:
yahoo mail propose à l'utilisateur de stocker de manière cryptée une image sur son disque et conserve la clef de déchiffrement. Seul le vrai site yahoo a cette clef et peut l'utiliser pour afficher l'image et protéger l'utilisateur du pishing.
> Pour mieux combattre la faille, il faut avoir les moyens de la connaître. Quels est, à l’heure actuelle, l’état des connaissances techniques sur cette faille ?
Un moyen détourné de dire : j'y connais rien, mais il vous faut avoir peur.
Quels sont actuellement les moyens techniques pour EXPLOITER cette faille, EXISTENT-ils, aurait été la bonne question à poser.
> Chaque poste possède ce qui s’appelle un fichier hosts qui existe sous forme de fichier texte. Si l’on est capable de modifier ce fichier, on prend alors le pas sur le Domain Name System.
Certes, le fichier host joue le rôle de DNS local, en le piratant, on peut effectivement réaliser du pishing. Ceci nescessite de pirater CHAQUE machine cible, ce qui est difficile pour un pishing a grande échelle.
Cette infection nescessite (sur windows et linux) de s'acaparer des droits administrateurs, une fois ces droits posséder, le piratage du fichier nost n'est qu'une des multiples nuisances que peut faire le pirate puisqu'il a alors un accès total à la machine.
Ce fichier n'est donc pas une faille en sois, c'est le moyen de prendre le contrôle de la machine qui est LA faille.
Il existe des méthodes de protections, comme calculer un MDM5 du fichier pour vérifier son authenticité (et ce sous windows et linux), restreindre ses droits d'accès (idem).
> Ce type de problème est pour l’instant maîtrisé sous Windows, mais Linux et surtout Ubuntu n’ont, à mon sens, aucune maîtrise réelle sur ce type de dangers.
Aucune preuve. Le problème est un problème général de la prise de contrôle a distance d'un ordinateur, et il me semble que LINUX s'en sors mieux que windows. Aucun Hack spécifique au piratage du fichier host n'a été publié que ce soit sur l'un ou l'autre des OS, ou alors je demande à l'auteur de bien vouloir citer ses sources.
> A ce sujet, pensez-vous que les grands acteurs du monde de l’informatique et de la sécurité se sont réunis autour d’une table pour parler gouvernance ?
Non, les gens ne se réunissent pas pour discuter chimères. Le fichier host n'est pas une faille, c'est l'acces administrateur a la machine qui en est une, je radote.
> Honnêtement j’aurais aimé y croire. Mais il faut bien dire qu’il n’y a pas eu de Table Ronde de la sécurité. Pour preuve, il suffit d'observer le moment où ont été effectués les correctifs des entreprises.
Quel correctif?
De quelle faille?
Quelles sont les sources?
> Les mises à jour s’étalent du 21 avril (Alcatel) au 8 juillet (Microsoft). Entre temps, D-Link a patché le 5 mai puis le 6 juin et enfin le 3 juillet c'était au tour de Dragonfly… Il n’y a donc pas eu d’alliances à proprement parler puisque qu’il n’y a pas eu de synchronisation.
Ce post dit que lorsqu'un patch est pret pour un OS truc, il faudrait attendre que les OS machins bidule et muche aient eux aussi leurs patchs pour une mesure synchronisée, c'est évidement débile, n'importe quel expert en sécurité sais que le plus tot c'est le mieux, pour un correctif efficace.
> On peut néanmoins affirmer que des échanges technologiques entre concurrents se sont produits.
Quels échanges ?
Quelles informations?
Quels concurents?
Quelle sources?
> Entrons dans le vif du sujet. Comment a pu être exploitée cette faille ? Et surtout a t’on des preuves qu'elle a déjà été utilisée par des pirates ?
Bien justement des preuves des preuves des preuves... et le host n'est toujours pas une faille, c'est la possibilité de le modifier qui en est une.
> Il faut d’abord lever le voile. Cette faille est connue depuis 1974, date à laquelle j’attribue l’invention d’Internet.
C'est surprenant de voir qu'avec une telle psedo faille internet aie survécu.
> La faille permet de s’insérer dans un dialogue et d’en modifier la réponse.
Oui : cette info est vraie.
Je vais expliquer ce qu'est un fichier host et un DNS : les ordinateurs sont reprérés par des IP (des chiffres) et l'utilisateur tappe des adresses (ex
http://www.google.fr) et il faut donc faire la traduction adresse --> IP.
C'est le rôle du DNS.
Or chaque machine a localement dans son fichier host des règles d'association adresse --> IP.
Si l'ordinateur trouve la traduction d'une adresse dans le fichier host il utilise cette traduction, sinon il demande au réseau.
Cette technique évite d'avoir a demander au réseau de traduire chaque adresse a chaque fois et permet de gagner du temps et d'économiser de la bande passante.
Evidement si le fichier host est faux, on va arriver sur un mauvais site d'où le pishing.
Pour pirater il faut donc modifier le fichier host de chaque machine cible.
> L’attaque est structurelle car un serveur DNS est obligatoire si vous voulez vous connecter au Net.
Oui.
> Fatalement tout le monde est touché.
Non seules les personnes qui ont un ordinateur sur lequel un pirate peut modifier le fichier host le seront.
> A la loupe, on se rend compte qu’il s’agit de failles liées à l’OS.
Il s'agit de failles liées à la prise de contrôle de son ordinateur à distance, c'est du à l'OS au firewall, à l'utilisateur, en fait c'est une faille due à toutes les faiblesses possibles.
> Le moment critique se situe au moment de la séquence de questionnement. Je m’explique : si vous lancez une requête DNS à partir, par exemple, du port 53 UDP, la réponse que vous allez obtenir n’est pas du tout due au hasard.
Là il explique que quand on interroge un serveur il ne réponds pas n'importe quoi : oui effectivement, ca ressemblerait a quoi internet si on recevait que des paquets aléatoires? Le n° du port et le protocole (UDP ici) ne sont employés que pour introduire du vocabulaire technique dans l'article mais sont sans rapport avec le sujet abordé.
> Il faut savoir que ce que l’on appelle le dialogue du port est prévisible et peut être calculé.
Oui et alors !
> Ce qui nous fait comprendre qu’à partir de là, hé bien, tout est possible…
Donc si vous pouvez prédire qu'un type qui se connecte a google.fr va afficher la page google.fr sur son ordinateur, et bien vous savez pirater.
Hum, c'est pas un peu faux ca comme raisonnement? voir franchement un mensonge?
>Si tout le monde est touché, quelle posture faut-il adopter ?
Pour toucher tout le monde il faudrait pirater tous les fichiers host de tous les ordinateurs du monde et en même temps.
> Existe-t-il-des solutions à part le système de patchs ?
Oui cf plus haut.
- Cryptage du fichier host
- Autentification du site distant sur la machine client (ex yahoo mail)
- Controle par hash du fichier host.
- Interdire l'acces administrateur à distance
- protéger sa machine par un contrôle total à distance par un pirate (un sécurité normale)
> Il faut bien comprendre une chose. Microsoft a été touché ainsi que tous les Unix.
Des preuves des preuves des preuves?
> Grâce à Windows Update, on peut sécuriser son système. Mais que fait-on pour Linux,
Linux intègre lui aussi un système de mise à jour de sécurité, de plus les failles de prise de contrôle d'ordinateur à distance sont moins fréquentes sur les postes Linux par rapport aux postes windows.
> combien de temps va durer cette faille ?
A elle seulement existée?
> Il faut bien savoir qu’il y a quelques mois, on a frôlé le " Big One", le jour où tous les comptes ont été remis à zéro.
Quel big one?
Quels comptes?
Qu'est ce qui a été remis à zéro?
> Il faut continuer la sensibilisation des entreprises et encourager les patchs. Pas seulement sous Windows mais pour Unix, Linux, et toutes les appliances de type routeurs, firewalls, serveurs de mails…
Les généralités c'est beau, ca fait savent, mais ca fait des erreurs:
Un routeur n'a rien à voir avec un DNS il utilise les IP pas les adresses et n'a pas de ficher host.
> Face à cette faille, le sentiment général est, quelque part, de se sentir tous concernés.
Alarmisme gratuit.
> Quelle réflexion vous évoque la révélation de cette faille aux yeux du monde ?
Rien , ce n'est pas une faille.
> Le système d’alertes, en tout cas pour la France, est loin d’être efficace.
Parce qu'il y a des experts compétants qui vous on ri au nez?
> C’est un désastre pour les PME qui n’ont aucun moyen de préparer des contre-mesures, quant aux grands groupes ils sont obligés de prendre des risques énormes car il faut avouer que dans de nombreux cas, leur politique est… de ne rien faire.
Quels sont les chiffres?
Combien de PME sont touchées?
Quelle est le rapport entre une faille due à l'OS comme affirmé a tord précédament, et la taille de l'entreprise?
Et puis c'est les editeurs d'OS qui doivent dépenser les sous pour produire les patchs, pas les utilisateurs non? alors quel est le rapport avec les PME?
>Le DNS est une chose trop " instable " pour qu’on la laisse sans protection.
Tellement instable qu'internet n'a jamais fonctionné
> Il faudrait une sorte de SecureDNS qui permettrait un cryptage des données. Sans quoi le risque sera toujours bien présent.
Avec des données cryptées, non seulement celà impose de changer toutes les machines de routage du monde, de s'assurer que chaque machine aie la clef de décryptage mais qu'aucun pirate ne la possède, et en plus ca empècherait de détecter le pishing car si les adresses sont cryptées, comment savoir si ce sont les bonnes?
