Faille DNS: les détails révélés par accident

Le 8 juillet dernier, lorsque Dan Kaminsky a trouvé une faille dans les systèmes DNS, qui sont à la base de l'Internet, il a averti les principaux acteurs, question qu'ils développent des rustines qui régleraient le problème. Son souhait: révéler les secrets de la faille seulement lorsque tous les systèmes seraient sécuritaires. Meilleure chance la prochaine fois!

Kaminsky avait prévu dévoiler les détails de la faille lors d'un conférence qu'il donnera le 6 août, pratiquement un mois après l'annonce de la découverte; le délai aurait du donner le temps aux intervenants d'appliquer les correctifs nécessaires.

C'est alors qu'entrent en jeu plusieurs hackers, qui ont vu la consigne comme un défi, puis une opportunité. On a longtemps spéculé, jusqu'à hier, lorsque Thomas Dullien, le PDG de Zynamics.com, publie sur son blogue une explication plausible de la faille.

À 13h30, douze heures plus tard, Matasano Security, un fabricant de logiciels de sécurité qui avait reçu les explications de Kaminsky a publié sur son blogue corporatif un billet qui expliquait que «le chat est sorti du sac.» Cinq minutes plus tard, les dirigeants de l'entreprise, qui avaient conclu une entente de confidentialité avec Kaminsky, ont retiré le billet.

Le billet a ensuite commencé à circuler, bien que sa copie originale ait été supprimée du site de Motasano.

Quelques instants plus tard, Kaminsky publiait sur son blogue un billet dans lequel on pouvait lire «Corrigez. Aujourd'hui. Maintenant. Mieux vaut tard que jamais. Rediriger vers OpenDNS s'il le faut. (Ils sont prêts pour votre trafic.) Merci à ceux qui l'ont déjà fait.» Pourtant, OpenDNS n'est pas conforme aux standards, puisqu'ils ne retournent pas NXDOMAIN pour les domaines inexistants.

À la découverte de la faille, Kaminsky avait été largement critiqué pour ne pas en avoir divulgué les détails.