C'est la troisième alerte que lance le Sans à propos des vagues d'attaques en « DNS Poisoning ». Une attaque qui, semble-t-il, n'a d'autre motivation que d'attirer des visiteurs sur des sites de vente au contenu discutable... sans spyware ni virus. Cette alerte est accompagnée d'un impressionnant article d'une quinzaine de pages décrivant comment « vider » les caches DNS polluées, comment éradiquer les sources d'empoisonnement -et ceci plateforme par plateforme-, comment détecter les serveurs douteux... des mesures prophylactiques qui s'accompagnent de diverses descriptions. Notamment une signature Snort, quelques captures d'attaques, une liste des sites victimes de ce détournement etc. A ce propos, précisons que cette liste de sites détournés n'implique pas que lesdits sites soient frappés par un quelconque virus... l'empoisonnement touche, doit-on le rappeler, très souvent un DNS local. Le Sans effectue également une radioscopie d'un détournement, en explique le mécanisme puis précise quelles sont les plateformes susceptibles de véhiculer ce mal. Signalons d'ailleurs que les principales victimes sont certaines versions des serveurs DNS Microsoft, et par voie de conséquence bien souvent la « cache » des stations de travail qui leurs sont inféodées. En outre, les versions 4 et 8 de Bind ne semblent pas « empoisonnables » mais laisseraient passer l'attaque. Dans le jeu des DNS Maîtres et Esclaves, l'Institut tente de savoir quelles sont les configurations les plus vulnérables -Microsoft derrière un Bind, Bind derrière un Microsoft... - et conseille une mise à niveau des machines Unix avec Bind 9.

Le Sans promet la mise à disposition prochaine d'un outil de tests permettant de déterminer à distance si le serveur de noms local est vulnérable ou non... hélas, dans l'état actuel des développements, il semblerait que l'outil soit un peu trop intrusif. Il faudra prendre patience.

. Web-profils.com, la place de marché du conseil et de l'ingénierie