Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Monday 4 April 2005
0 comment(s) | Subnetwork France

Quel est le point commun entre americanexpress.com, fedex.com, msn.com ou trendmicro.com ?Le trafic vers tous ces sites - et quelques milliers d'autres- a récemment été détourné par des pirates, avec tous les emails qui leurs étaient destinés. Incroyable ? Ce n'est pourtant que la partie visible de l'iceberg que les spécialistes découvrent aujourd'hui avec stupéfaction : depuis la fin du mois de février 2005 trois attaques majeures se sont succédées contre les serveurs DNS de nombreuses sociétés. Elles ont permis de détourner les milliers d'internautes qui dépendaient de ces services DNS vers deux sites publicitaires, ainsi que le courrier et tout le trafic qui leur était destiné (connexions SSH, etc...).Baptisées "DNS pharming", ces attaques cherchent à forcer des serveurs DNS légitimes afin de diriger leurs internautes vers des sites choisis par les pirates, quelles que soient les adresses qu'ils demandent.Face à une telle attaque, l'internaute est impuissant : s'il dépend d'un serveur DNS qui s'est laissé piéger (celui de son entreprise par exemple), il aura beau disposer d'un Windows ultra-sécurisé, chaque fois qu'il entrera une adresse que les pirates ont choisi de détourner (et dans la dernière attaque en date, toutes les adresses en .com l'étaient !), il atterrira sur un site appartenant au pirate au lieu de l'original. Le principe n'est pas tout jeune (c'est le bon vieux DNS poisonning à la sauce phishing), mais il n'avait encore jamais été exploité à une telle échelleLes trois attaques qui se sont succédées depuis la fin février visaient entre 500 et 1000 sociétés qui disposent de leurs propres serveurs DNS. Elles concernaient donc essentiellement leurs propres employés. Mais cela représente malgré tout plusieurs milliers d'internautes abusés.Concrètement, la première attaque redirigeait les victimes vers un site web qui tentait d'installer un spyware sur leur machine, via une faille d'Internet Explorer. La seconde les amenait vers un site publicitaire (sans spyware celui-ci !) d'achat de médicaments en ligne. La troisième, enfin, reprenait le principe de la première. Lors de chaque attaque, les internautes entraient donc l'adresse d'un site web quelconque en toute confiance et atterrissait... ailleurs !Toutes ces sociétés ont pu être compromises grâce à une faiblesse de l'installation par défaut du serveur DNS de Windows NT4 et 2000. Les attaques actuelles ne concernent donc que les serveurs DNS sous Windows, ce qui met la grande majorité des internautes à l'abris : la plupart des fournisseurs d'accès et des gens sérieux avec leur DNS le font fonctionner sous un Unix quelconque, avec le logiciel Bind (qui a largement eu son lot de vulnérabilités en son temps, mais qui est désormais considéré comme fiable).Il semblerait cependant qu'outre la faiblesse de Windows, certaines victimes aient vu leur serveur DNS compromis par le biais d'une faille récemment découverte dans la passerelle de sécurité et les pare-feu de l'éditeur Symantec.Aujourd'hui, ces attaques choquent surtout par leur ampleur. Mais elles sont encore bien gentilles : les internautes se rendent vite compte que quelque chose ne va pas lorsqu'ils atterrissent toujours sur le même site quelle que soit l'adresse qu'il tapent ! Ces attaques là visaient donc des objectifs à court terme : diffuser un maximum de spywares, détourner un maximum de trafic vers un site de vente en ligne... rien de très subtil.En revanche, et c'est là que les choses pourraient devenir inquiétantes, si une telle attaque se contente de ne détourner qu'une poignée d'adresses web, et de renvoyer vers les bons sites pour toutes les autres, elle serait largement plus difficile à détecter. Et si parmi la poignée d'adresses détournées se trouve celle d'une banque en ligne, qui pointe vers une copie parfaite montée par le pirate, il s'agirait là du phishing ultime.Et contre cette attaque là, point d'espoir : les grigris anti-spyware en tout genre seront inutiles. Mieux vaut convaincre le responsable informatique de votre entreprise de se pencher sur la configuration de son serveur DNS ! Mise à jour du 08/04/2005 :Microsoft précise que toutes les versions de Windows encore supportées ne sont pas concernées par ce problème. Ne sont donc concernés que les Windows NT4 et 2000 SP2. Mais l'éditeur propose malgré tout sur son site des solutions capables d'aider à la résolution de ce problème pour les utilisateurs de ces plateformes.En outre, des informations complémentaires sur la sécurisation du service DNS de Windows sont désormais disponibles sur le site de l'ISC à l'adresse http://isc.sans.org/diary.php?date=2005-04-07. 

• Le rapport technique et détaillé de l'attaque, sur le site de l'Internet Storm Center (en anglais).
• Une autre analyse, plus technique, passionnante, d'une arnaque similaire (en anglais).