Le code pour exploiter la faille DNS divulgué sur le Net
Il est plus que jamais nécessaire d'appliquer le patch corrigeant la récente faille décelée au niveau des serveurs DNS, ceux gérant les noms de domaine. Tous les détails de cette vulnérabilité viennent d'être diffusés sur le Net, de la méthode au code nécessaire à son exploitation.
Les informations ont été diffusées notamment via Metasploit, plate-forme permettant de tester des failles de sécurité.
Les pirates ont donc désormais toutes les ressources nécessaires pour exploiter la faille DNS. Elle avait été décelée il y a plusieurs mois par l'expert en sécurité, Dan Kaminsky, qui avait choisi de la tenir secrète le temps de créer un patch. Il comptait en divulguer tous les détails le 6 août prochain, à l'occasion de la conférence sur la sécurité Black Hat de Las Vegas. Mais il a été devancé.
Une fuite d'information publiée sur un blog
À l'origine de cette fuite d'information : Halvar Flake, P-DG de la société Zynamics qui a publié un descriptif de la faille sur son blog. Des informations ensuite reprises sur un blog de la société Matasano Security, qui les a depuis retirées. Manifestement trop tard.
Rappelons que cette faille peut être exploitée pour rediriger à leur insu les clients de banques ou sites d'e-commerce vers un serveur DNS corrompu afin de s'emparer de leurs données personnelles.
Par la rédaction, ZDNet France
Nouveauté du blog
Salut,
J'ai mit en place un systeme de Newsletter pour le blog, il faut simplement mettre une adresse E-mail, pour recevoir les nouvelles du blog
Nouvelle barre de navigation.
@+
Le site Fuzz.fr condamné dans l'affaire qui l'oppose à Olivier Martinez
Mis à jour - Le blogueur Eric Dupin devra payer 1 000 euros de dommages et intérêts et 1 500 euros de frais de justice à l'acteur. Le tribunal a retenu sa responsabilité d'éditeur sur le site Fuzz, mis en cause par Olivier Martinez.
Le verdict est tombé dans l'affaire qui oppose l'agrégateur d'actualités Fuzz et l'acteur Olivier Martinez. Le site internet, géré par le blogueur Eric Dupin, est condamné en première instance pour avoir publié un lien qui renvoyait vers un blog rapportant une rumeur au sujet d'une liaison entre l'acteur et la chanteuse australienne Kylie Minogue.
Arguant de la défense de sa vie privée, Olivier Martinez a poursuivi en justice le site Fuzz et son créateur, en réclamant 35 000 euros de dommages et intérêts. Une vingtaine d'autres sites ont reçu des assignations similaires. Le plaignant affirmait que le site Fuzz.fr voulait « attiser la curiosité du public [...] et ce dans le seul objectif d'accroître son chiffre d'affaires ».
Dans cette première affaire, le tribunal de grande instance de Paris a donc donné raison à l'acteur. « Le tribunal dans son ordonnance (que je n'ai pas encore en main) a retenu ma responsabilité d'éditeur en considérant que j'organisais l'information sur Fuzz en opérant un tri et une hiérarchisation des liens par catégories », écrit Eric Dupin sur son blog Presse-Citron. « Si vous connaissez Fuzz et le fonctionnement des Digg-like, vous savez tous parfaitement que ceci est inexact ».
Conséquence : le tribunal le condamne à verser 1 000 euros de dommages et intérêts et 1 500 euros au titre des frais de justice à Olivier Martinez. « Je n'aime pas employer des formules trop grandiloquentes, mais je crois quand même que ce jeudi 27 mars 2008 restera comme une journée noire pour le web français. »
L'affaire est emblématique, car il s'agit de la troisième du même genre en quelques semaines seulement. Elle pose directement la question de l'interprétation de la loi pour la confiance dans l'économie numérique, et de la responsabilité des hébergeurs de contenus. ZDNet.fr reviendra sur cette condamnation dès que de plus amples détails seront connus. Une première analyse est d'ores et déjà disponible dans notre rubrique blog sous la plume de l'avocat Jean-Baptiste Soufron.
Article mis à jour jeudi 27 mars, à 17 heures.
Par Estelle Dumout, ZDNet France