Les géants informatiques mondiaux, dont Microsoft, Sun Microsystems et Cisco, se sont mobilisés ces derniers mois pour corriger une grave faille de sécurité qui menaçait l'internet mondial, et diffusent cette semaine à grande échelle un «patch» (logiciel de correction).
Le spécialiste en sécurité Dan Kaminsky, de IO Active, a découvert il y a six mois cette faille qui portait sur le Domain Name System (DNS), le système central qui met en relation les adresses des sites et les pages stockées sur des serveurs, via des numéros similaires à des numéros de téléphone.
Il a alors réuni les grands groupes internet, qui ont planché discrètement pendant des mois pour mettre au point une solution.
Le patch est diffusé cette semaine aux entreprises et aux internautes, généralement via des mises à jour automatiques des systèmes.
Cette faille aurait pu permettre à des pirates de rediriger n'importe quelle adresse internet vers d'autres sites de leur choix, et d'ainsi contrôler le trafic internet mondial.
Le risque est notamment celui du «phishing», où des escrocs dirigent les internautes à leur insu vers de faux sites de banques par exemple, pour récupérer leurs numéros de cartes bancaires ou autres données sensibles. Un pirate aurait aussi pu ainsi voler des courriels ou toute sorte de données.
«Aucune opération de sécurité n'a jamais été réalisée à cette échelle», a commenté M. Kaminsky, qui a mis en place un site (www.doxpara.com) pour permettre aux internautes de tester leur vulnérabilité à cette faille.
«C'est un problème-clé qui gouverne toute l'architecture de l'internet», a souligné l'expert en sécurité Rich Mogull, de la société Securosis, lors d'une conférence téléphonique. En détournant les adresses «vous auriez l'internet mais pas celui que vous attendez», a-t-il expliqué.
«Les gens peuvent être inquiets mais ne doivent pas paniquer, car nous avons gagné autant de temps que nous pouvions, afin de tester et de mettre en application le patch», a commenté M. Kaminsky.
M. Kaminsky et 16 autres chercheurs du monde entier s'étaient retrouvés en mars sur le campus de Microsoft à Redmond (nord-ouest des Etats-Unis) pour travailler sur une parade, dans un effort de collaboration sans précédent.
Généralement les experts en sécurité vendent aux entreprises les détails sur les failles qu'ils découvrent, mais M. Kaminsky a choisi d'agir en secret et de prévenir toute le monde en raison de l'importance de l'enjeu.
«J'ai découvert cette faille complètement par hasard», a-t-il raconté, «en regardant quelque chose qui n'avait rien à voir avec la sécurité». «Ce problème affecte non seulement Microsoft et Cisco, mais tout le monde», a-t-il dit, en évitant toute précision technique pour éviter d'inspirer des pirates.
Pour la première fois, les grands groupes informatiques ont décidé ensemble de lancer une diffusion massive simultanée du patch sur toutes les plate-formes informatiques, ce qui devrait protéger la plupart des internautes. Les détails techniques ne seront publiés que dans un mois, le temps d'installer le correctif.
Le Parisien - 10 juillet 2008
Commentaires
"Rich Mogull" : soit riche -et puissant- nabab. Prédestiné comme nom, non ?
Moralité : ne pas mettre ses secrets d'état, au cas où vous en auriez, sur un ordinateur connecté à internet.
Chère Gaëlle, pas de panique. Il faut faire la part des choses dans cette information. Ce n’est pas la première fois qu’on découvre un défaut dans le protocole DNS qui met en cause la sécurité de la gestion des adresses. Et ce n’est certainement pas la dernière : l’informatique nous a appris à vivre avec les défauts des logiciels (‘bugs’). Comme par hasard c’est une période où plusieurs gouvernements s’interrogent avec raison sur la sécurité de leurs systèmes d’information : la France vient de publier un rapport sur ce sujet (rapport du Sénat n°449, 8/7/2008, par le sénateur Romani).
Kaminsky et ces sociétés en profitent pour faire leur pub ! Kaminsky affirme : « Nous contrôlons la situation » : je ne vois pas en quoi, puisque ce sont les exploitants qui doivent installer le correctif. Mais il devrait donner plus d’informations dans une conférence lors d’un congrès en août : il s’est déjà assuré une bonne audience !
La sécurité, on en parle beaucoup et on en fait peu : toutes les sociétés spécialisées dans ce domaine ont du mal à vivre. C’est pourquoi elle ont besoin périodiquement de se faire cette pub !
Cher abad, je ne panique pas! Il y a eu des mises à jour à faire, très rapides, je les ai faites c'est tout.
On vit dans une opacité...
I have a dream. Qu'un chambardement cosmique modifie la composition électronique. Ainsi, plus d'électricité! Youpi!