Le DNS est une nouvelle fois menacé… par une divulgation soi-disant un peu trop hâtive. Faut-il s’en inquiéter, et à qui incombe la responsabilité de cette situation ?
Aujourd’hui comme la semaine dernière, les chances de voir le Grand Internet Mondial sombrer dans un fantastique nervousse brèkdone est assez faible. Il ne faut pas confondre faille majeure et faille touchant un composant majeur, pas plus que problème à considérer sérieusement et sérieux problème. Les principaux FAI ont très probablement corrigé leurs serveurs d’annuaires (juré-craché ! nous disent-ils), et les administrateurs responsables sont activement en train de déployer les rustines adéquates. Ce qui n’élimine pas le risque de quelques DNS Poisoning orchestrés dans le cadre d’attaques amorcées à l’aide d’une campagne de phishing… voir, soyons paranoïaques, deux ou trois « spear spoofing »* brodés par des codeurs aussi consciencieux que malhonnêtes, à l’encontre de cibles très lucratives.
Bob Graham vulgarise quelques uns de ces risques, avec un éclairage relativement sombre. Mais le personnage est un coutumier des tableaux ténébreux, qui part du principe qu’une bonne crainte provoque généralement de saines réactions de protection. Graham sait fort bien crier « Au loup ! » : ni trop souvent, pour que ses alertes soient prises en compte, ni trop peu pour que les moins informés ne puissent ignorer le message.
Vrai-Fausse divulgation sauvage ?
Sur la question de l’intention originelle de Kaminsky, en revanche, les avis divergent. Ce dernier avait, lors de sa première alerte, demandé à la communauté de ne publier la moindre spéculation au risque d’échauffer les esprits et dévoiler le pot aux roses… et d’ajouter que celui qui découvrirait la substantifique moelle du hack serait cordialement invité à la prochaine Black Hat pour présenter les conclusions de son enquête.
Sid, dans le billet susmentionné, (voir article précédent), fait précisément ressortir l’aspect provocateur de cette position ambigüe. En recommandant la « sécurité par l’obscurantisme », ou tout au moins par une « discrétion certaine ». Dan Kaminsky, dit-il en substance, fait jouer l’aiguillon de la curiosité et de l’esprit de contradiction. Il suffit d’interdire un type de recherche pour déchainer les talents de tous les chasseurs de failles. La sorte de « concours à la publication Black Hat » confirme d’ailleurs cette tartuferie.
Mais peut-être s’agit-il là d’un plan dans le plan, une forme d’activisme qui ne veut pas se montrer. En lisant entre les lignes du dernier papier de Dennis Fisher, l’on croit voir se dessiner une manœuvre un peu plus machiavélique. En collaborant discrètement avec les principaux éditeurs, Kaminsky s’attire le respect et la sympathie de ceux-ci. En rendant publique –sans pour autant laisser filtrer le moindre détail technique-, le chercheur orchestre une campagne de sensibilisation qui porte : les premiers intéressés, alertés par la campagne de presse qui ne manquera pas d’exploser, s’empresseront de déployer les correctifs. Empressement d’autant plus grand que, grâce à la promesse provocatrice de « publication à l’occasion de la Black Hat Conference », la divulgation d’un PoC public est inévitable à court terme. Bref, Kaminsky parvient à faire du « full disclosure » par HD Moore, Halvar Flake et Thomas Ptacek interposés, sans que la virginité de son image de « taiseux » soit entachée. Ajoutons à cela la formidable publicité générée par ces différentes actions, qui ne peut que profiter à la renommée du chercheur (ainsi qu’à DoxPara, son entreprise). Retord, Kaminsky ? Pensez donc…