Faille DNS

[Daniel92]

Ci-joint un article sur une nouvelle faille DNS qui peut toucher certains serveurs.

Version française de l'article :
https://www.01net.com/actualites/une-no ... 05844.html

Source de l'article avec le test permettant de savoir si le serveur DNS que vous utilisez peut être corrompu :
https://www.cs.ucr.edu/~zhiyunq/SADDNS.html

Pour savoir ce qui en est du DNS que vous utilisez vous devez cliquer sur le lien
"Click to check if your DNS server is affected"
, dans l'article en anglais.


Suivant votre DNS vous aurez un message de ce type :

Your DNS server IP is 138.23.201.101
Since it blocks outgoing ICMP packets, your DNS server is not vulnerable.
The test is conducted on 2020-11-16 06:35:44.090075657
Disclaimer: This test is not 100% accurate and is for test purposes only.

Si votre DNS est sensible à ce type d'attaque, changer de DNS et prévenir le propriétaire du DNS.

[cp290547]

hello
quelques tests de DNS avec mon notebook en WIFI



faut-il s'inquiéter sur la vulnérabilité avec la DNS SFR ?? ont-ils un pb?

cordialement

[Daniel92]

Oui il faut s’inquiéter pour les serveurs DNS qui n'ont pas corrigé cette vulnérabilité sachant qu'elle est publiée et documentée.


Il est très fortement déconseillé d'utiliser un serveur DNS vulnérable, utilisez ceux qui ne présentent pas cette vulnérabilité.

[nc1701]

Hello,

Oui cette page m'indique aussi que mon DNS (fourni par ma connexion standard Numericable) est vulnérable.

un truc m'échappe tout de même :
- mes DNS fournis automatiquement par Numericable sont 89.2.0.1 et 89.2.0.2
- cependant ce site de test m'affiche une autre valeur testée pour mon serveur DNS : 89.2.3.134
(qui s'avère être l'hôte ip-134.net-89-2-3.static.numericable.fr )

Comment cela se fait-il ?
À+

[dlvb31]

Bonjour,

Ne paniquez pas!
Personne ne connait l'infrastructure derrière ces IP, sauf SFR! Et ils ne sont pas fous. Le DNS est le centre d'internet.
Ces IP cachent en fait plusieurs serveurs pour tenir la charge. Il y a donc plusieurs serveurs... Nous sommes plusieurs millions connectés dessus...
Le frontal (le truc qui est devant et qui est vu depuis internet) est vulnérable certes. Je ne pense pas que les vrais serveurs DNS sont impactés. L'accès que nous faisons depuis le réseau SFR ne se fait pas par le même chemin que l'accès internet. Nous passons en "interne". Testez le ping dessus et le ping sur un autre site google par exemple!

Donc, pas de panique.
Et si vraiment vous paniquez, changez de DNS et faites confiance à un site que l'on ne connait pas ... Ou bien débranchez vos box!

A+

[nc1701]

Hello,

Et si vraiment vous paniquez, changez de DNS et faites confiance à un site que l'on ne connait pas ... Ou bien débranchez vos box!

Personnellement je ne panique pas (la preuve je n'ai pas changé de DNS).
Mais je pose une question à laquelle on n'a donc toujours pas avancé pour des réponses :

• des chercheurs universitaires publient une faille exploitable (et récompensé par un "Distinguished paper award" )
• ils donnent un lien pour tester si le système qu'on utilise contient cette faille
• le test est positif dans mon cas sur le système fourni par mon FAI (mais les auteurs eux-mêmes disent que ce n'est pas sûr à 100%)

Donc je pose la question, est-ce que mon FAI contient la faille ?...
... mais je devrais conclure que mon FAi est plus malin que ça et qu'en fait chez lui la faille n'est pas exploitable.
J'avoue que je trouve cette réaction légère : la faille, due à telle ou telle version de logiciel, est là ou n'est pas là. Et si elle est là, elle est exploitable d'après les auteurs de la publication. La question est donc : est-elle là vu que mon test est positif (mais pas certain).

Heureusement pour moi, les tests que j'ai faits aussi sur mes 2 fournisseurs dans le cadre du boulot ne présentent pas la faille. Je ne risque donc pas du tout de paniquer.
À+

[Daniel92]

La question n'est pas de paniquer mais d'être certain que le DNS n'a pas de faille.
En l'espèce concernant certains DNS il y a des doutes.

Cloudflare qui n'est pas un passereau de l'année en DNS, Il a corrigé cette faille dans la journée lorsqu'elle a été signalée.

Entre un DNS qui a potentiellement une faille et un considéré comme "safe" la question ne se pose même pas dans le choix du DNS.

Lorsque je vois un voyant rouge sur le tableau de bord de ma voiture qui me dit "faire contrôler mon ABS", je vais chez le garagiste et je vais être prudent afin de ne pas avoir un freinage d'urgence.

Perso j'utilise des serveurs DNSsec qui ne sont pas sensibles à ce type d'attaque.

[Daniel92]

@nc1701

vous posez les bonnes questions.

Je pense que SFR ou tout du moins les modérateurs de ce forum vont remonter l'info à leurs contacts SFR/NC.

[rbart]

Il faut avoir confiance...
Plusieurs fois ces derniers mois les DNS de SFR ont été victimes de hackers (qui ont de ce fait écroulé la connexion internet de tous les abonnés SFR pendant plusieurs heures).
Donc tout est sous contrôle ...

[dlvb31]

Bonjour,

L'attaque n'a pas écroulé la connexion, mais a empêché de demander ta route, ce qui est perçu comme une lenteur.

Mais imaginez si les DNS de votre FAI SFR étaient attaqués et que des pirates redirigeaient les connexions chez eux: qui serait responsable? Vous ou SFR?

Étant donné le coût, et que SFR ne souhaite pas perdre d'argent...