Le jour où le Net s'écroulera

Vincent Absous |
Depuis quelques heures, les bulletins des radios, les journaux des télévisions, les quotidiens en parlent : Internet est en danger et on pourrait être passé à deux doigts d'une catastrophe. Découverte par Dan Kaminsky, un chercheur américain, une faille affecte les fondements mêmes du net : les fameux DNS, le protocole qui fait que quand on tape le nom d'un site, la requête aboutisse bien sur le bon serveur.

Autant dire qu'on touchait là une affaire sensible et que certains voient déjà le réseau des réseaux s'effondrer et avec lui l'économie mondiale, déjà en petite forme. Toutefois, hier, les grands noms du monde informatique, Apple, certes, mais aussi Microsoft, Cisco, IBM, Sun, etc., se sont mis à la tâche et ont mis ou vont mettre en ligne un correctif, on n'en sait guère plus, censé protéger le système.

Pour l'heure, les autorités — américaines — compétentes se refusent à en dire plus, histoire d'assurer évidemment la sécurité de l'ensemble, mais il apparaît que la faille vient de ce que la plupart des serveurs DNS stockent en cache les correspondances entre adresses IP et adresses Web les plus usitées et les plus connues. C'est dans ce vivier que les malveillants n'avaient qu'à se servir pour rediriger où ils le voulaient les requêtes des internautes.

avatar surrion | 
le jour ou internet aura disparu !! les voitures auront fait de même !
avatar djgregb | 
Il va falloir trouver l' élu alors ? en tout cas ce sera sans moi j'ai pas envie d'entrer dans la matrice ...
avatar mykoze | 
La fin du Monde n'est pas pour aujourd'hui... La nuit dernière, ont été publiés sur les sites de nombreux éditeurs de distros linux des patches pour corriger cette faille. Une chtite mise à jour de BIND, et les poules seront bien gardées...
avatar Sylvain ALLAIN | 
Ca me rappelle le scénario de Die Hard 4...
avatar boulifb | 
Ah zut, c'est pas encore pour cette fois la fin du monde... Ça aurait été bien pourtant, un monde sans internet...
avatar Halx | 
Belle pub pour ce chercheur et merci à lui. Comment se fait-il que ceux qui se font du fric sur la vente de matériel/logiciel doivent se reposer sur la vigilance des travailleurs publics pour peaufiner leurs produits ? Drole d'époque.
avatar lol51 | 
South park est prémonitoire !
avatar ricchy | 
"les autorités — américaines — compétentes." C'est cela oui. mdr....
avatar Museforever | 
Le chercheur a annoncé qu'il est tombé sur la faille totalement par hasard et que ce n'était pas ce qu'il cherchait. Le jour où le net s'écroulera, c'est un peu fort comme titre quand même ! Ce n'est pas la 1ère fois qu'il y a des problèmes majeurs avec internet : la pénurie d'adresse IPv4 est un exemple. Ou dans quelques années, les backbone entre les continents qui vont saturer à cause de l'explosion des services comme Youtube, la VOD, les spams ..
avatar mon_grain_de_sel | 
Ça ne vous rappele pas la citation de l'agent "K" (Tommy Lee Jones) dans Men in Black I: "Si l'on veut que le peuple vive heureux et ait beaucoup d'enfants, nous avons le devoir de lui mentir ! " (pour son propre bien) ;-)
avatar Nordlaser | 
Flute, j'ai tapé mortderire.com et je suis tombé sur cette page...
avatar Le Chapelier | 
Bon, bah je retourne me coucher. J'aurais pas été contre une petite fin du monde (mais après le 14 svp). MacGé : "...mais il apparaît que la faille vient de ce que la plupart des serveurs DNS stockent en cache les correspondances entre adresses IP et adresses Web les plus usitées et les plus connues". Depuis toujours ou à la demande des USA post 11/9 ?
avatar popey | 
Le Chapelier : Le cache DNS est utilisé depuis toujours : ça permet de répartir la charge. Les DNS sont interrogés extrêmement souvent. Le principe est celui d'une pyramide : un serveur est la source de l'information. Quand un quidam à besoin de l'info, il demande à son DNS de référence (la plupart du temps celui de son FAI), qui la première fois demande à la source et retient l'info. La prochaine fois qu'il sera interrogé, il ne demandera pas l'info à la source, il ré-utilisera celle qu'il a stocké lors de la première demande. Donc, la source est nettement moins chargée. Par contre, ça provoque des problèmes de propagation de l'information : si l'information change à la source, il y aura des incohérence pendant quelques heures.
avatar oomu | 
du sensationnalisme... cela me fatigue. On va tous mourir, et c'est la fin, et gnagnagna. - TCP/IP , DNS, Smtp etc ont eu leur lots de BUGS DE LA MORT et on a corrigé, on a amendé, et tout le monde est vivant.
avatar properso | 
mais , c'est qu'ils sont réactifs dès fois !!! lloooll
avatar oomu | 
signalons que Dan Kaminsky n'a plus besoin de pub depuis fort trop longtemps
avatar oomu | 
>Belle pub pour ce chercheur et merci à lui. Comment se fait-il que ceux qui se font du fric sur la vente de >matériel/logiciel doivent se reposer sur la vigilance des travailleurs publics pour peaufiner leurs produits ? >Drole d'époque. parce que vous êtes communiste tendance cataclysmique. Admettez une bonne fois pour toute qu'il y a des MILLiONS d'appareils interconnectés par des gens différents, achetés au près de sociétés différentes qui utilisent des centaines de protocoles différents, le tout mis en place progressivement sur 30 ANS et qui sont utilisés par des gens DIFFERENTS avec une myriades de logiciels tous très différents. C'est un éco-système ouvert, libre, distribué et qui est très résistant à la panne (difficile d'anéantir tout internet en un coup, il est multiforme et en toile d'araignée décentralisée) Le seul point d'attaque centrale serait les "dns root", qui sont eux même maintenant en plusieurs exemplaires à travers le monde. BREF ! OUI y a des pannes locales, y a des erreurs de design structurelles dans sous-couches du réseau mais IL MARCHE. Il est modifiable, il est adaptable, il est ré-sis-tant. Bref, tout-va-bien. et par exemple, tout informaticien sérieux sait que ip4 (l'actuelle protocole internet d'adressage massivement utilisé) est bourré "d'erreurs" (entre " ") et qu'il est inadapté à la croissance du net et qu'on va touuuus mouuurir (dans d'atroces souffrances) mais non, on a mis en place les "nat', on a virtualisé, on a vpn-isé, et d'autres bricolages de fou, et IP6 (le successeur) est une réalité, il se répand lentement, dans les cas où il est nécessaires, on fait des passerelles entre ip4 et ip6, free le met en place pour ses abonnés grands publics et tout se passe bien dans la douceur on arrive à communiquer en tchat avec sa petite amie on arrive à commander son dvd des bisounours le porno se promène toujours sur la toile on peut lire son journal favori nous raconter que cette fois c'est la bonne : c'est la fin
avatar contactezmatt | 
ouais, le "sensationnalisme", pour reprendre le terme d'un commentateur macgé, est très vendeur. la Terre est à deux doigts d'imploser, le réchauffent climatique va nous tuer dans deux décennies, le manque de pétrole va nous faire revenir à une époque antérieure à la petite maison dans la prairie... je ne prétends pas connaître la vérité, je ne dis pas qu'il ne faut pas être vigilant, attentif au monde qui nous entoure. je sature simplement de ces médias qui tentent d'instaurer une psychose, uniquement pour nous rendre accros à l'information, à ce qui se produit en temps réel. je pense que je vais entamer un régime d'information. plus de france info, plus de JT pendant quelques jours... c'était le coup de gueule du vendredi (normal demain je suis en week-end)
avatar oomu | 
de même avec le protocole des dns aussi hein. et smtp aussi ! et ne parlons pas de dhcp, houlala
avatar Aimzèd | 
Cela fait des mois que je passe sur ce site, dans le seul but d'en retirer de rares news concrètes parmi des tonnes de texte qui vont de l'amour béat d'Apple au sensationnalisme, en passant par la haine de l'open source et la jalousie des concurrents quand ils font du bon boulot. Ce commentaire n'est guère constructif et ne fera pas plaisir, ce n'est pas son but, j'évoque juste les choses telles qu'elles sont. Bref. Je voulais profiter de ce message pour remercier oomu. Je remarque, quand je me laisse aller à lire les commentaires, que c'est un des rares à être pragmatique et sensé ici (désolé pour les autres qui seraient dans le cas et que j'oublierais). Pas de fanboyisme. Ne fait pas de montagnes à partir de taupinière (au contraire du sensationnalisme sus-cité), bref quelqu'un qui sait ce qu'il dit et qui sait garder un recul salvateur face à l'information et, surtout, la désinformation. Merci. Je n'aurais pas ton courage ni ta patience pour sans cesse expliciter les choses dans le détail quand elles sont incomprises ou mal formulées, volontairement ou non. Sur ce, je repars. Je suis un sale renégat qui se trouve sur Mac depuis presque deux ans, qui ne compte pas retourner sur Windows, mais qui utilise Firefox, pense que Microsoft fait parfois de bons produits, et qui ose même dire qu'Apple a des politiques presque aussi nauséabondes que son concurrent direct. Je suis vraiment un sale type.
avatar cprail | 
T'inquiète, t'es pas seul dans ce monde ;)
avatar Hindifarai | 
Plusieurs précisions pour apporter de l'eau au moulin : - Dan Kaminsky s'est à priopri reposé sur trois failles bien connues et a réussi à créer un "proof of concept" permettant cette attaque qui n'était qu'une possibilité non réalisée jusque là. - Certains serveurs DNS ne sont pas impactés par la faille tels DJBDNS ou PowerDNS qui portent attention à choisir des ports source qui sont réellement aléatoires. - Pour BIND les correctifs ralentissent de manière conséquente les servers, une version optimisée est disponible pour résoudre ce problème mais c'est une version béta. Les administrateurs choisiront en leur âme et conscience. Les utilisateurs comprendront à travers ce détail les possibles lenteurs qu'ils peuvent observer. - Pour ce qui est de l'exploiation de la faille, Dan Kaminsky n'en parlera pas avant la DefCon du 7 août, ça laisse le temps de patcher. A l'heure actuelle aucune piste réellement concrète n'a été trouvée et dévoilée. Le réel problème de mon point de vue est que l'exploiation de la faille va être dévoilée d'ici peu si l'on se place du point de vue d'un administrateur ayant un/des serveurs(s) de prod. Sinon dans le même genre de news mais qui a fait moins de bruit la faille SSL n'est pas très vieille et était tout aussi grave :) . Pour synthétiser : rien de réellement inquiétant à l'horizon. Don't worry be happy.
avatar Da_Budget | 
Oomu dit : blablabla...le porno se promène toujours sur la toile...blablabla C'est toujours interessant à savoir :)
avatar kaos | 
ça m'étonne pas c'est déjà le merdier a la maison avec le tcpip dhcp dns proxy etc ... tout ça pour avoir un reseau correct alors sur le net j'immagine même pas ... je connais la solution !!!!! il faut mettre une multiprise sur l'internet mondial et voilà
avatar BananaJoe | 
J'ai éteint l'ordi. Je suis sorti dehors. Et vous savez qui j'ai vu? Des gens... Incroyable. Des gens vivants. Putain... Tout ce temps de perdu.
avatar Le Chapelier | 
@ Popey : si j'ai bien compris, c'est comme si j'allais à la banque tirer des sous avec ma carte et que le distrib automatique se souvenait de mon code automatiquement chaque fois que j'insère la CB ? Je le tape une fois et il est mémorisé ? Donc, si on me pique ma carte, je suis marron (le code ne sert plus à rien) ? C'est une bonne analogie ?
avatar Le Chapelier | 
Aimzèd + 1. Entièrement d'accord sauf pour le fait que oomu ne soit pas fanboy Apple et spécialement concernant ceci : - [...pense que Microsoft fait parfois de bons produits, et qui ose même dire qu'Apple a des politiques presque aussi nauséabondes que son concurrent direct.] - [...dans le seul but d'en retirer de rares news concrètes parmi des tonnes de texte qui vont de l'amour béat d'Apple au sensationnalisme, en passant par la haine de l'open source et la jalousie des concurrents quand ils font du bon boulot.] Bref... on est deux sales types alors...
avatar Aimzèd | 
@Le Chapelier : On peut apprécier les produits Apple sans pour autant être un fanatique aveugle. Dans mon cas, par exemple, j'apprécie le soin qu'ils apportent à la plupart des détails, ce qui, au final, donne du matériel et des logiciels plus pratiques et efficaces. La première différence entre Apple et Microsoft est là, c'est que le premier, au moins, fait des produits d'une qualité acceptable, voire plus. Après ça, notamment en termes de politiques de vente et Big Brother, Apple et Microsoft, c'est (presque) du pareil au même. Je n'estime pas normal de devoir formater mon PC après deux ans sans jamais avoir installé le moindre truc fantaisiste ou fait le zouave avec, mais tout simplement parce que Windows déconne tout seul au fil du temps. En ça, je trouve que Windows n'a pas un niveau de qualité "acceptable", selon mes propres critères, évidemment subjectifs. Mais, à côté de ça, Microsoft a fait de bons trucs. Même IE, véritable symbole des politiques nauséabondes de Microsoft, est en train de corriger ses erreurs, et la Team IE semble sincèrement motivée de bien faire et d'aller dans le bon sens (leurs supérieurs hiérarchiques, par contre, c'est moins sûr). IE 8 dispose d'énormes améliorations, là où le passage du 6 au 7 était plus mineur. IE 7 gère déjà OpenSearch, etc. Ok, Apple fait de meilleurs produits, et j'en suis devenu utilisateur au quotidien, mais ça ne justifie pas de cracher sur tout ce qui est extérieur à ce petit monde de pommes, de jolis dégradés et d'emballages blanchis au chlore... Windows, Linux, d'autres sociétés de logiciels, les mouvements open source, il y a plein de bonnes choses à l'extérieur, et parfois des trucs mieux pensés ou plus efficaces. C'est peut-être le plus gros truc que je reproche à la "communauté Mac" (terme fumeux qui regroupe les acheteurs de produits d'une entreprise nommé Apple Inc.), c'est qu'ils sont sectaires, voire intolérants. Ils reprochent à Microsoft ses pratiques anti-concurentielles mais
avatar Aimzèd | 
(suite) Apple fait pareil (forcer iThunes pour les iPod, iPhone, iBazar, etc.)... Faut savoir accepter les critiques, Apple n'est pas "the must" absolu pour tout :/ Pour certains trucs, oui, pour beaucoup d'autres, non. Ca y est, je radote encore, je vais vraiment passer pour un grincheux acariâtre :p
avatar Philactere | 
@Le Chapelier Non tu ne peux pas faire l'analogie avec ta CB, car l'IP gardée en cache n'a rien de secret, bien au contraire si tu demande à un serveur DNS l'IP de www.macg.co c'est justement son rôle de te la donner. Si le serveur garde en cache les IP c'est pour éviter les aller-retours vers un serveur DNS au dessus mais ce cache ne doit pas avoir une durée de vie trop longue car en cas de changement d'adresse IP pour le serveur de www.macgé le DNS renverait l'ancienne IP. Le problème de cette faille est que ce cache est accessible en écriture et permet donc a un pirate de remplacer dans l'annuaire l'IP du serveur "mabanque.com" par une autre IP qui correspond à un serveur géré par le pirate et qui se fera passer pour "mabanque.com". Si tu veux une analogie fais là avec ton carnet d'adresses : Les noms de tes contacts avec en façe leur n° de téléphone. La faille permet à quelqu'un de modifier leur n° de téléphone dans ton carnet d'adresse pour se faire passer pour un de tes contact lorce que tu l'appeleras.
avatar Le Chapelier | 
@ Aimzèd : je recommence, car ma phrase doit prêter à confusion, tournée comme elle l'était. Je reprends : Entièrement d'accord et spécialement concernant ceci (blablabla...), sauf pour le fait que oomu ne soit pas fanboy Apple. Personnellement, le Monde Apple commence à me dégoûter. Commence. L'enc..ade "le G4 c'est le meilleur proc du monde", pour ensuite avouer que c'est une daube (qui ne l'est réellement pas) mais pour faire accepter que désormais un Mac sera un PC avec une pomme dessus, ça m'a fait perdre toute crédibilité sur le vrai but de cette société : non pas rendre l'informatique plus facile et abordable, mais se faire un max de fric. Pis tous ces nouveaux basculeurs... quelle horreur. Comme intégristes ils sont souvent même les plus virulents. Bon, j'ai du boulot, alors je m'étends pas.
avatar Le Chapelier | 
@ Philactere : merci pour l'analogie. Je comprends mieux.
avatar SuisseTeuTeu | 
Rien de nouveau.
avatar quetzal | 
Le Net pourrait bien s'écrouler pour des raisons électromagnétiques : une panne massive des fermes de serveurs, plus assez de puissance des centrales électriques, etc.

CONNEXION UTILISATEUR