Infos sur les SSL et la sécurité des réseaux

Latest Posts

Protéger son site Internet des cyberattaques

L’actualité récente a entrainé un accroissement significatif du nombre d’attaques informatiques visant des sites Internet français. La très grande majorité de ces attaques sont des défigurations de sites
Internet* (ou défacement), ou des dénis de service* (DDoS) qui exploitent les failles de sécurité de sites vulnérables.

L’ANSSI rappelle qu’il est possible de se prémunir de ces types d’attaques en appliquant les bonnes pratiques présentées dans les fiches qu’elles a préparées à cet effet disponibles ci-dessous : une fiche destinée à tout internaute et une fiche destinée aux administrateurs de site Internet.

Enfin, l’application des recommandations du guide d’hygiène informatique et de la note sur la sécurisation des sites web est fortement recommandée.

PDF - 229.4 ko
Fiche des bonnes pratiques en cybersécurité
PDF – 229.4 ko
PDF - 352.8 ko
Fiche d’information pour les administrateurs de site
PDF – 352.8 ko

*Défiguration (defacement) : Résultat d’une activité malveillante visant à modifier l’apparence ou le contenu d’un serveur Internet. Cette action malveillante est souvent porteuse d’un message politique et d’une revendication.

*Déni de service (Denial of Service, DDoS) : Action ayant pour effet d’empêcher ou de limiter fortement la capacité d’un système à fournir le service attendu. Dans le cas d’un site Internet, celui-ci devient inaccessible à la consultation.

Powered by WPeMatico

Vulnerabilty disclosure – The Infinitely Delegating Name Servers (iDNS) Attack

The French Network and Information Security Agency (ANSSI) identified a critical vulnerability in the three major open-source DNS recursive nameservers : BIND, Unbound and PowerDNS Recursor.

This vulnerability allows attackers to perform denial of service attacks against the vulnerable implementations or to take advantage of the vulnerable implementations to perform distributed denial of service attacks against third parties, with a significant packet amplification factor.

All unpatched versions of the affected software are vulnerable. The patched versions are BIND 9.9.6-P1, BIND 9.10.1-P1, Unbound 1.5.1 and PowerDNS Recursor 3.6.2. No workaround exists to avoid the risk altogether. However, some workarounds might exist for Unbound and PowerDNS recursor deployments to lower the probability of exploitation or the availability impact.

The ANSSI recommends network operators to update their DNS software as soon as possible.

For more information, the interested reader may read our executive summary, its technical appendix and the various security advisories that were published by the vendors : ISC, NlNet Labs, PowerDNS

PDF - 56.7 kb
The Infinitely Delegating Name Servers (iDNS) Attack
PDF – 56.7 kb
PDF - 121.2 kb
iDNS Attack – Technical review
PDF – 121.2 kb

Powered by WPeMatico

Vulnérabilité DNS critique : attaque en déni de service par récursion infinie affectant BIND, Unbound et PowerDNS Recursor

L’agence nationale de la sécurité des systèmes d’information (ANSSI) a identifié une vulnerabilité dans les trois principaux serveurs DNS libres offrant le service de résolution récursive : BIND, Unbound et PowerDNS Recursor.

Cette vulnérabilité peut être exploitée pour effectuer des dénis de service des infrastructures DNS elles-mêmes, ainsi qu’être employée pour effectuer des attaques en dénis de service distribuées contre des tiers, avec une amplification de paquets significative.

Toutes les versions de ces logiciels sont affectées. Les versions non-vulnérables sont BIND 9.9.6-P1, BIND 9.10.1-P1, Unbound 1.5.1 et PowerDNS Recursor 3.6.2.
Aucune technique de contournement (« workaround ») n’existe, permettant de totalement éviter le risque. Des techniques permettent cependant, pour Unbound et PowerDNS Recursor, de limiter la vraisemblance ou l’impact de cette attaque.

L’ANSSI encourage donc les opérateurs à appliquer les mesures correctives dans les meilleurs délais.

Pour plus d’informations, nous vous invitons à vous référer au document de synthèse et à son annexe technique disponibles ci-dessous, ainsi qu’aux différents bulletins d’alertes publiés par : ISC, NlNet Labs, PowerDNS

PDF - 59.8 ko
Attaque par délégations DNS infinies « iDNS Attack »
PDF – 59.8 ko
PDF - 121.2 ko
iDNS Attack – Technical review
PDF – 121.2 ko

Powered by WPeMatico