Des chercheurs allemands ont découvert une vulnérabilité inquiétante au sein de certains protocoles internet couramment utilisés.
Cette faille pourrait potentiellement affecter 300 000 serveurs de réseau à travers le monde en créant une boucle de déni de service permanente qui peut submerger les systèmes ou les réseaux concernés avec un trafic massif. Le CISPA Helmholtz Center de Sarrebruck a lancé une alerte publique concernant cette menace qui pourrait faire de nombreuses victimes.
Les protocoles internet concernés sont notamment NS (Name Server), NTP (Network Time Protocol) et TFTP (Trivial File Transfer Protocol), ainsi que quelques protocoles plus anciens. Pour mieux comprendre, les protocoles internet sont des règles et des procédures qui régissent la transmission de données sur internet. Les protocoles NS sont utilisés pour traduire les noms de domaine en adresses IP, les protocoles NTP sont utilisés pour synchroniser l’heure entre les ordinateurs, et les protocoles TFTP sont utilisés pour transférer des fichiers entre les ordinateurs.
Cette nouvelle faille se distingue des attaques DoS (Denial of Service ou déni de service) traditionnelles car elle cible la couche application plutôt que la couche réseau. Pour mieux comprendre, imaginez les services du réseau comme des maillons d’une chaîne. Lorsqu’un maillon rencontre un problème, il envoie un message d’erreur au suivant. Dans ce cas, les services du réseau sont reliés entre eux de telle sorte qu’ils continuent à répondre indéfiniment aux messages d’erreur des uns et des autres, créant ainsi un cycle continu d’attaques DoS.
Une attaque DoS est une attaque qui consiste à submerger un réseau ou un serveur avec du trafic pour le rendre indisponible aux utilisateurs légitimes. Dans ce cas présent, cette nouvelle faille crée une boucle de messages d’erreur qui peut submerger les systèmes ou les réseaux concernés, les rendant indisponibles. Et une fois que ce cercle vicieux est enclenché, il est extrêmement difficile de l’arrêter. Même l’attaquant à l’origine de la boucle de déni de service ne pourrait pas l’interrompre, selon les chercheurs.
Pour l’instant, cette vulnérabilité n’est pas encore activement exploitée. Cependant, les chercheurs préviennent que sa mise en œuvre est relativement simple. Elle repose sur l’usurpation d’adresse IP et un attaquant n’a besoin que d’injecter un seul message d’erreur dans un serveur pour déclencher la boucle. Les serveurs continuent ensuite à s’envoyer des messages d’erreur les uns aux autres, créant ainsi un trafic massif qui peut paralyser le réseau.
Les chercheurs appellent à une action urgente et ont déjà informé les fournisseurs de serveurs de réseau et d’appareils de leurs découvertes. Les produits de Microsoft, Huawei, Broadcom, Cisco, D-Link, TP-Link et Zyxel, entre autres, seraient vulnérables. Il est donc crucial que les fournisseurs et les utilisateurs prennent les mesures nécessaires pour protéger leurs systèmes et éviter d’être victimes de cette « boucle DoS » permanente.
