DGhost's Blog

A sysadmin thoughts about the Internet and technologies…

L’ère des DNS

| 0 comments

Ok je suis d’accord, c’est un peu gros comme titre. Je veux surtout mettre l’emphase sur le fait que beaucoup de nos communications sur internet utilisent maintenant les DNS. Que ce soit avec nos ordinateurs, tablettes, téléphones, tout appareils qui peut communiquer sur Internet utilise le service des DNS pour trouver l’adresse IP d’un serveur. Que ce soit de se connecter sur une page web, recevoir ses courriels ou communiquer par IM.

Pratiquement toutes les communications fonctionne avec les DNS. Je vous fait un résumé ; les ordinateurs n’ont rien à cirer des DNS, ils ne communiquent qu’en utilisant des chiffres et les adresses IP sont la pour ca. Si les DNS existent, c’est uniquement pour les humains afin de nous faciliter la vie. On ne tape pas http://173.194.73.103 dans la barre d’adresse mais plutôt http://www.google.com. Surtout que Google possède beaucoup de serveurs sur la planète qui peut répondre à la requête du DNS, dépendant de la position géographique du client qui demande la page web de Google. Bref, les DNS sont la pour rester, peux importe comment l’Internet vas évoluer, selon moi.

J’ai récemment travaillé sur un projet qui a remis à jours mes connaissances sur les DNS et en parallèle je suis beaucoup l’actualité sur la sécurité informatique. Je suis tombé dernièrement sur un article de Paul Vixi – il est le fondateur du ISC qui est le consortium responsable du développement du logiciel BIND, le service de DNS le plus utilisé sur la planète. Il explique qu’il a participé, à la demande du FBI, au démantelement du centre de contrôle d’un réseaux de PC infecté par un virus particulier. Ce réseaux d’ordinateurs infectés – plus de 500 000 pour ce cas ci – baptisé par le FBI “DNS Changer” ont un point en commun très important sur la facon dont ils sont exploités. Les serveurs DNS utilisés par ces PC ne sont pas les les serveurs des FAI (Fournisseur d’Accès Internet) des propriétaires de ces PC infectés mais bien les serveurs appartenant et controlé par ceux qui ont créer les virux mêmes. Cette façon de faire permet de garder le contrôle des communications des PC infectés. Cela permet encore beaucoup plus de possibilités pour exploiter ces PC infectés et je ne passerais pas à travers de la liste puisqu’elle est exhaustive. C’est bien sur un gros problème.

Tout ce réseaux d’ordinateurs infectés (le terme zombie est utilisé ici pour désigner ces PC) sont contrôlés à partir d’une page web qu’on appelle le centre de contrôle. Cette interface permet de controller tout les PC qui sont infecté et ont peux lancer des commandes spécifiques par les PC infectés – souvent utilisés pour faires des attaques de types déni de service. La plupart du temps les propriétaire de ce genre de système vont louer sont utilisations à un prix très fort à des utilisateurs qui pourront en faire ce qu’ils voudront, le temps de la location du service.

Au coeur de ce système de communication de tous ces zombies, se trouve les serveurs de DNS utilisés par les opérateurs du système. L’histoire de Paul Vixi deviens encore plus intéressante lorsqu’il raconte qu’après avoir discuté avec le FBI, la décision a été prise de prendre le contrôle du réseaux de zombie “DNS Changer” et de le laisser rouler tout en désactivant le côté malveillant du réseau. Pour plusieurs raisons, la principale étant de pouvoir apprendre sur le fonctionnement de ce type de système. L’autre raison est que si le FBI tire le fils sur le système et l’éteint définitivement, tout les PC infectés ne pourront plus communiquer sur Internet avec l’aide des serveurs DNS. Pour laisser le système rouler, ils ont du demander une injonction à un juge, qui a d’ailleurs été accordé, mais pour une période de temps de 4 mois uniquement. Cette période arrivant à sa fin, des lettres d’avertissement ont été envoyés aux FAI afin de notifier leurs clients qu’ils devront faire nettoyer leur PC ou réinstaller Windows ou même refaire la configuration de certains modèles de routeur qui ont été infectés. Pour le commun des mortels, c’est une opération pas mal difficile. Petit test rapide pour savoir si vos DNS sont infecté, visiter simplement cette page web.

Quoi faire pour le futur afin de s’assurer que les DNS ne soit corrompues par un virus? Paul Vixi propose comme idée d’allez au delà des logiciels antivirus et de barré les serveurs DNS au niveau des FAI. Dans le même ordre d’idée que les serveurs SMTP sont dorénavant barré sur le port 25 c-à-d que le client est forcé d’utiliser le SMTP de son FAI sur le port 25 par défaut. Par contre, on peut toujours utiliser un autre serveur SMTP externe à notre FAI mais qui roule sur un port différent que celui qui est utilisé par défaut. Pour les courriels, c’est quelque chose de simple, pour les DNS, c’est pratiquement irréalisable. Si on essaie d’utiliser les services DNS sur un port autre que par celui par défaut, le 53, une réaction en chaîne s’ensuit dans la plupart des logiciels qui sont tous conçues en fonction d’utiliser le port 53 par défaut. Donc si on applique l’idée de Paul Vixi, et il semble que certains FAI aux USA ont déjà commencé à faire cette pratique, le client ne pourrais plus utiliser les services d’un serveur de DNS tierce partie. Je vous donne en exemple les serveurs DNS publique de Google que tout le monde peuvent se servir sur la planète. Le client sera forcé d’utilisé les serveurs DNS de son FAI. Est-ce que c’est souhaitable? Pour un Internet ouvert et démocratique, je crois que non. Pour la sécurité en générale des utilisateurs qui ne comprennent pas grand chose sur le fonctionnement d’Internet et la sécurité informatique? Je crois que la réponse est oui.

Mise à jours : Un estonien a été arrêté et extradé pour faire face à la justice Américaine, il est l’un des opérateur du botnet “DNS Changer”. Ars Technica a aussi écrit sur le sujet il a quelques mois de cela.

Author: DGhost

System Administrator and consultant for more than 23 years. I've always used computers since I was a kid. I' ve specialized in networking, servers and the inner workings of the Internet. My blog is aimed as a personnel point of view on some technologies, the web, sciences and the Internet in general. If you are wondering why this website is in French and English, that's because I'm a french Canadian who also speaks English and sometimes, when I'm drunk, dabble in Spanish.

Leave a Reply

Required fields are marked *.



 

This site uses Akismet to reduce spam. Learn how your comment data is processed.