O.Klaba (OVH): « La correction de la faille DNS annoncée n’est pas totale »

La découverte d’une vulnérabilité critique du système DNS a fait couler beaucoup d’encre depuis trois jours. Et pour cause, les conséquences auraient pu être catastrophiques en cas d’exploitation. Parmi les acteurs de l’Internet touchés figurent au premier rang les hébergeurs comme les fournisseurs d’accès. Vnunet.fr a recueilli l’avis de l’un d’eux pour en savoir plus sur les processus mis en oeuvre afin de sécuriser les clients et les internautes. Octave Klaba, directeur technique de l’hébergeur Français OVH et fondateur du service, s’est prêté au jeu. (Entretien réalisé le 10 juillet 2008)

Vnunet.fr: Une faille dans le système DNS n’est pas nouveau. Mais elle semblait être plus importante que les autres. Quel est votre avis ?
Octave Klaba: Certaines failles de sécurité impactent les utilisateurs de façon différente avec des conséquences plus ou moins importantes sur le réseau. Dans le cas présent, il s’agit d’une faille qui est au coeur du système qui gère l’infrastructure des noms de domaine. Il y a donc un impact commercial très important puisque toute la Toile est basée sur les noms de domaine. Cette faille est connue depuis plusieurs années et la correction annoncée n’est pas totale : en réalité, on diminue juste la probabilité que quelqu’un puisse l’utiliser. Certains serveurs DNS (Djbdns, Powerdns) ont une probabilité de faille très très faible. La probabilité d’exploitation d’une faille sur le serveur DNS Bind a été plus importante que les deux autres mais elle a été réduite. Ceci étant dit, depuis que la faille a été dévoilée (depuis presque dix ans), personne n’a réussi à l’exploiter jusqu’à ce jour. Notez que le serveur Bind est le serveur DNS le plus populaire, le plus utilisé et le plus répandu.

Vnunet.fr: Dans les faits, qu’avez-vous entrepris pour sécuriser votre infrastructure ?
Octave Klaba: Nous avons mis à jour le serveur Bind sur notre plate-forme. Ce sont des opérations que nous effectuons chaque jour sur différents services. Techniquement parlant, il faut télecharger le nouveau logiciel, le compiler, l’installer, redémarrer le serveur DNS puis vérifier le bon fonctionnement. C’est le travail quotidien d’un administrateur système qui s’informe de nouvelles failles découvertes et applique les correctifs proposés ensuite.

Vnunet.fr: Vos clients sont donc tous protégés ?
Octave Klaba: Pour leurs besoins internes (envoyer des e-mails, faire des opérations web, etc.), tous les serveurs dédiés et Real Private Server (RPS) ont leur propre serveur DNS Bind pré-installé. Lors de la première étape, nous avons préparé les patches de sécurité et avons annoncé leur disponibilité à nos clients avec le mode opératoire pour fixer la faille. La seconde étape, qui débute la semaine prochaine, consistera à scanner l’ensemble des serveurs pour connaître la version du serveur DNS utilisée. Si le client n’a pas encore mis à jour son serveur DNS, il recevra un e-mail avec les commandes à exécuter pour y arriver. Cette étape continuera jusqu’à ce que tout soit mis à jour, même si dans certains cas sur demande de nos clients, nos techniciens interviennent sur les serveurs pour corriger l’application.

Vnunet.fr: A l’avenir, ne faudrait-il pas une cellule nationale de sécurité IT pour que toutes les entreprises se coordonnent de concert dans de telles situations ?
Octave Klaba: Les administrateurs systèmes et réseaux sont au courant de l’ensemble des failles de sécurité car les informations circulent rapidement entre eux. C’est aussi leur travail de se tenir informé et de mettre à jour les systèmes de façon pro-active. Il existe de très bons sites Web et lettres d’informations sur les nombreuses failles de sécurité découvertes chaque jour. Parfois, les incidents sont plus sérieux, comme c’est le cas actuellement. Mais, pour l’instant, il n’existe pas d’exploit pour cette vulnérabilité. Alors, pourquoi cette faille refait-elle surface alors qu’elle est connue depuis longtemps (neuf ans minimum) ? A mon avis, l’expert en sécurité à l’origine des révélations [Dan Kaminsky, ndlr] avait trouvé un moyen de l’exploiter. Si c’est le cas, on peut le féliciter pour le travail effectué et la méthode de résolution du problème. Il a préféré que la faille soit corrigée avant de dévoiler l’exploit (s’il l’a bel et bien trouvé). L’inverse aurait été irresponsable.