Infos sur les SSL et la sécurité des réseaux

Latest Posts

Vulnerabilty disclosure – The Infinitely Delegating Name Servers (iDNS) Attack

The French Network and Information Security Agency (ANSSI) identified a critical vulnerability in the three major open-source DNS recursive nameservers : BIND, Unbound and PowerDNS Recursor.

This vulnerability allows attackers to perform denial of service attacks against the vulnerable implementations or to take advantage of the vulnerable implementations to perform distributed denial of service attacks against third parties, with a significant packet amplification factor.

All unpatched versions of the affected software are vulnerable. The patched versions are BIND 9.9.6-P1, BIND 9.10.1-P1, Unbound 1.5.1 and PowerDNS Recursor 3.6.2. No workaround exists to avoid the risk altogether. However, some workarounds might exist for Unbound and PowerDNS recursor deployments to lower the probability of exploitation or the availability impact.

The ANSSI recommends network operators to update their DNS software as soon as possible.

For more information, the interested reader may read our executive summary, its technical appendix and the various security advisories that were published by the vendors : ISC, NlNet Labs, PowerDNS

PDF - 56.7 kb
The Infinitely Delegating Name Servers (iDNS) Attack
PDF – 56.7 kb
PDF - 121.2 kb
iDNS Attack – Technical review
PDF – 121.2 kb

Powered by WPeMatico

Vulnérabilité DNS critique : attaque en déni de service par récursion infinie affectant BIND, Unbound et PowerDNS Recursor

L’agence nationale de la sécurité des systèmes d’information (ANSSI) a identifié une vulnerabilité dans les trois principaux serveurs DNS libres offrant le service de résolution récursive : BIND, Unbound et PowerDNS Recursor.

Cette vulnérabilité peut être exploitée pour effectuer des dénis de service des infrastructures DNS elles-mêmes, ainsi qu’être employée pour effectuer des attaques en dénis de service distribuées contre des tiers, avec une amplification de paquets significative.

Toutes les versions de ces logiciels sont affectées. Les versions non-vulnérables sont BIND 9.9.6-P1, BIND 9.10.1-P1, Unbound 1.5.1 et PowerDNS Recursor 3.6.2.
Aucune technique de contournement (« workaround ») n’existe, permettant de totalement éviter le risque. Des techniques permettent cependant, pour Unbound et PowerDNS Recursor, de limiter la vraisemblance ou l’impact de cette attaque.

L’ANSSI encourage donc les opérateurs à appliquer les mesures correctives dans les meilleurs délais.

Pour plus d’informations, nous vous invitons à vous référer au document de synthèse et à son annexe technique disponibles ci-dessous, ainsi qu’aux différents bulletins d’alertes publiés par : ISC, NlNet Labs, PowerDNS

PDF - 59.8 ko
Attaque par délégations DNS infinies « iDNS Attack »
PDF – 59.8 ko
PDF - 121.2 ko
iDNS Attack – Technical review
PDF – 121.2 ko

Powered by WPeMatico

Correction d'une vulnérabilité critique de Kerberos

L’agence nationale de la sécurité des systèmes d’information (ANSSI) invite les administrateurs système et les responsables informatiques à prendre connaissance du Bulletin d’alerte CERT-FR relatif à la vulnérabilité dans l’implémentation Kerberos de plusieurs versions de Microsoft Server et Microsoft Windows. Cette vulnérabilité permet l’extension des droits d’accès au sein d’un domaine Windows. Cela peut conduire à la prise de contrôle total du domaine par un tiers, depuis l’Internet. Microsoft précise que cette vulnérabilité est utilisée dans le cadre d’attaques ciblées et a mis un correctif à disposition.

Le CERT-FR recommande l’application de ce correctif immédiatement.

Plus d’informations sur le site du CERT-FR

Powered by WPeMatico

New publication : BGP configuration best practices

Introduced under the auspices of the ANSSI (French Network and Information Security Agency) in 2011, the French Internet resilience observatory strives to improve knowledge of the Internet by studying the technologies that are vital for it to operate correctly.

Studies conducted by the French Observatory of the Internet Resilience led the ANSSI and several French Network Operators to write a guide describing best practices for BGP interconnections between network operators.

It is intended first and foremost for BGP router administrators, as well as for those familiar with the BGP deployment architectures. Because network equipments configuration also affects the ability to detect and prevent incidents, robust router configuration contributes to the Internet resilience. For each best practice described, the document provides concrete configuration examples for the major vendors in the market.

Readers who would like information about the BGP protocol can also refer to the report from the French observatory of Internet resilience, which can be accessed in French here. An English version of the 2013 French Internet Resilience Report will be made available to the public in the forthcoming weeks.

The ANSSI encourages the network operators to implement these recommendations whenever possible.

PDF - 1.4 Mb
BGP configuration best practices
PDF – 1.4 Mb

Powered by WPeMatico

Cybersécurité et loi de programmation militaire : préparation des règles de sécurité.

Les premiers groupes de travail dédiés à la préparation des règles de sécurité prévues par l’article 22 * de la loi de programmation militaire (LPM), ont été lancés mi-octobre pour les secteurs de l’énergie (électricité et gaz) et des communications électroniques.

Mis en place d’ici le début d’année 2015 pour chaque domaine d’activité (eau, énergie, finances, transports, etc.), ces groupes rassemblent, autour de l’ANSSI, les opérateurs d’importance vitale, les ministères coordonnateurs et les autorités sectorielles.

L’objectif de ce travail collectif est de définir les systèmes d’information concernés et des règles efficaces, soutenables et adaptées aux métiers et spécificités des opérateurs, et de garantir la bonne articulation de ce nouveau dispositif avec les réglementations préexistantes.

* L’article 22 de la loi n°2013-1168 du 18 décembre 2013 (codifié dans les articles L.1332-6-1 à L. 1332-6-6 du code de la défense) prévoit des mesures de renforcement de la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV), destinées à protéger les infrastructures vitales nationales contre les attaques informatiques.

Powered by WPeMatico

CYBER EUROPE 2014 : l'Europe se prépare contre la cybermenace

CYBER EUROPE 2014 est un exercice de crise réunissant 29 Etats (UE et l’AELE), dont l’organisation est soutenue par l’Agence Européenne de la Sécurité des Réseaux et de l’Information (European Network and Information Security Agency, ENISA).

L’exercice, qui a pour but d’améliorer la coordination nationale et multinationale en cas de crise cyber, implique plus de 200 entités publiques et privées (autorités de cybersécurité, CERTs, ministères et acteurs privés de l’énergie et des télécommunications). Pour sa troisième édition, il repose sur un scénario de 2000 incidents affectant le secteur de l’énergie : exfiltrations d’information sensibles, dénis de service distribués, compromissions d’automates. Il s’agit à ce jour de la plus importante simulation de crise cyber jamais organisée à l’échelle européenne, et elle aura nécessité deux ans de préparation.

En France, CYBER EUROPE 2014 mobilise plusieurs opérateurs d’importance vitale du secteur aux côtés de leur ministère de tutelle et de l’ANSSI.

Des informations complémentaires sont disponibles sur le site de l’ENISA.

Powered by WPeMatico