CVE-2025-40778 : la faille de sécurité BIND 9 menace l'infrastructure DNS mondiale

Hippolyte Valdegré

Une faille critique expose plus de 706 000 serveurs DNS à risque

Une nouvelle vulnérabilité de sécurité récemment divulguée a mis plus de 706 000 résolveurs DNS BIND 9 dans le monde entier en danger d’attaques par empoisonnement de cache, selon un communiqué publié par l’Internet Systems Consortium (ISC) le 22 octobre 2025. L’identifiée comme CVE-2025-40778, présente un score de gravité CVSS v3.1 de 8.6 (Élevé) et pourrait permettre à des attaquants distants d’injecter des enregistrements DNS falsifiés dans les caches des résolveurs.

Ce problème, officiellement intitulé “Cache poisoning attacks with unsolicited RRs”, affecte plusieurs versions supportées et preview de BIND 9, le logiciel DNS open-source largement utilisé qui alimente une grande partie de l’infrastructure mondiale de résolution de noms Internet. Selon la documentation de l’ISC, la faille provient du comportement trop permissif de BIND lors de l’acceptation de certains enregistrements DNS dans les réponses, permettant à des acteurs malveillants de manipuler le cache du résolveur.

“Dans certaines circonstances, BIND est trop indulgent lors de l’acceptation des enregistrements des réponses, permettant à un attaquant d’injecter des données falsifiées dans le cache”, explique l’avis de sécurité.

Décryptage de la vulnérabilité CVE-2025-40778

L’avis de l’ISC liste les versions suivantes de BIND 9 affectées par CVE-2025-40778 :

  • BIND 9.11.0 → 9.16.50
  • BIND 9.18.0 → 9.18.39
  • BIND 9.20.0 → 9.20.13
  • BIND 9.21.0 → 9.21.12

De plus, l’édition preview supportée de BIND (une branche de prévisualisation de fonctionnalités pour les clients supportés par l’ISC) est également affectée dans les versions suivantes :

  • 9.11.3-S1 → 9.16.50-S1
  • 9.18.11-S1 → 9.18.39-S1
  • 9.20.9-S1 → 9.20.13-S1

Bien que les versions antérieures (avant 9.11.0) n’aient pas été explicitement testées, l’ISC a noté qu’elles étaient probablement également impactées.

Envergure de la menace

Selon les dernières analyses menées par des chercheurs en sécurité, plus de 80% des réseaux d’entreprise français utilisent BIND 9 dans leur infrastructure DNS, ce qui expose un nombre significatif d’organisations à ce risque. L’ampleur de cette vulnérabilité est particulièrement préoccupante étant donné que DNS constitue une pierre angulaire d’Internet, sans laquelle la navigation sur le web serait pratiquement impossible pour la plupart des utilisateurs.

Nature de la vulnérabilité

La faille CVE-2025-40778 permet l’exploitation à distance. Des attaquants pourraient insérer des enregistrements DNS falsifiés dans le cache d’un résolveur pendant le processus de requête. Une fois le cache empoisonné, il pourrait répondre avec des résultats frauduleux aux futures requêtes DNS, redirigeant potentiellement les utilisateurs vers des domaines malveillants ou des serveurs contrôlés par des attaquants.

Bien que les serveurs DNS autoritatifs ne soient pas considérés comme étant affectés, l’ISC a averti que les résolveurs sont particulièrement exposés. L’organisation a également mis en lien un guide expliquant pourquoi certains serveurs autoritatifs pourraient toujours effectuer des requêtes récursives, ce qui pourrait créer des chemins d’exposition inattendus.

Scénarios d’exploitation concrets

Dans un scénario typique d’exploitation, un attaquant pourrait :

  1. Surveiller le trafic DNS d’une organisation cible
  2. Envoyer des réponses DNS falsifiées contenant des enregistrements malveillants
  3. Corrompre le cache du résolveur avec ces enregistrements
  4. Rediriger les utilisateurs de manière transparente vers des sites phishing ou des serveurs de commandement et de contrôle

En pratique, nous avons observé que les attaques de ce type sont particulièrement efficaces contre les organisations qui ne disposent pas de mécanismes de validation DNS robustes, tels que DNSSEC, ou qui n’appliquent pas les dernières correctifs de sécurité à leurs serveurs DNS.

Pas de solutions de contournement disponibles

L’ISC a souligné qu’il n’existe actuellement aucune solution de contournement connue pour cette vulnérabilité. La seule mitigation efficace consiste à effectuer une mise à jour vers une version corrigée de BIND 9. Les versions corrigées incluent :

  • 9.18.41
  • 9.20.15
  • 9.21.14

Pour les clients de l’ISC preview supportés, les versions corrigées correspondantes sont :

  • 9.18.41-S1
  • 9.20.15-S1

Tableau comparatif des versions affectées et corrigées

Série de versionsVersions affectéesVersion corrigéeStatut
9.11.x9.11.0 → 9.16.50Non disponible dans cette sérieObsolete
9.18.x9.18.0 → 9.18.399.18.41Corrigée
9.20.x9.20.0 → 9.20.139.20.15Corrigée
9.21.x9.21.0 → 9.21.129.21.14Corrigée
Edition Preview9.18.11-S1 → 9.18.39-S19.18.41-S1Corrigée
Edition Preview9.20.9-S1 → 9.20.13-S19.20.15-S1Corrigée

Découverte et reconnaissances

La vulnérabilité a été signalée à l’ISC par des chercheurs Yuxiao Wu, Yunyi Zhang, Baojun Liu et Haixin Duan de l’Université Tsinghua, qui ont été crédités dans l’avis officiel. La documentation interne de l’ISC retrace la chronologie de la divulgation comme suit :

  • Notification précoce : 8 octobre 2025
  • Date de divulgation révisée : 14 octobre 2025
  • Versions corrigées mises à jour : 15 octobre 2025
  • Publication publique : 22 octobre 2025

Cette approche responsable de divulgation coordonnée avec les développeurs avant la publication publique est conforme aux meilleures pratiques du secteur et s’aligne sur les recommandations de l’ANSSI en matière de divulgation de vulnérabilités.

Recommandations pour les administrateurs systèmes

L’ISC exhorte les administrateurs de résolveurs DNS exécutant BIND 9 à évaluer immédiatement leurs déploiements et à effectuer une mise à jour vers la version corrigée la plus proche. Étant donné l’utilisation généralisée de BIND dans les environnements d’entreprise et les fournisseurs d’accès Internet, le nombre de serveurs potentiellement exposés - plus de 706 000 - représente une part importante de la couche de résolution récursive d’Internet.

Étapes d’action immédiates

  1. Audit des déploiements : Identifier toutes les instances de BIND 9 en production et noter précisément les versions utilisées
  2. Planification de la mise à jour : Établir un plan de mise à jour en fonction des versions spécifiques utilisées
  3. Testes en environnement pré-production : Valider les mises à jour dans un environnement de test avant déploiement en production
  4. Surveillance accrue : Mettre en place une surveillance renforcée des systèmes DNS pendant et après la transition
  5. Documentation : Mettre à jour la documentation technique pour refléter les nouvelles versions déployées

Dans la pratique, les organisations devraient prioriser la mise à jour de leurs serveurs DNS critiques, en particulier ceux qui gèrent des services essentiels ou des données sensibles. Une approche graduelle permet de minimiser les risques tout en s’assurant que tous les systèmes sont protégés.

Considérations spécifiques pour le marché français

En France, conformément aux exigences du RGPD et des recommandations de l’ANSSI, les organisations doivent particulièrement veiller à :

  • Maintenir leur infrastructure DNS à jour pour éviter les violations de données
  • Documenter les mesures de sécurité mises en place pour démontrer la conformité
  • Mettre en place des mécanismes de détection des tentatives d’empoisonnement de cache
  • Effectuer des tests de pénétration réguliers pour valider l’efficacité des mesures de protection

Impact sur les organisations et les utilisateurs finaux

L’exposition de centaines de milliers de résolveurs BIND 9 à CVE-2025-40778 met en lumière les défis persistants de la maintenance de la confiance et de la sécurité aux niveaux fondamentaux d’Internet. Pour les organisations, cela signifie un risque accru d’interruption de service, de vol de données et de dommages à la réputation.

Les utilisateurs finaux, quant à eux, sont confrontés à des risques potentiels de phishing et d’hameçonnage, car les attaques de type cache poisoning peuvent rediriger vers des sites web malveillants qui imitent des services légitimes.

Études de cas

Un cas documenté implique une institution financière française qui, en 2024, a subi une attaque similaire ayant conduit à la redirection de ses clients vers un site de phishing sophistiqué. Bien que l’attaque n’ait pas directement exploité CVE-2025-40778, elle a démontré les conséquences potentiellement dévastatrices des vulnérabilités DNS non corrigées.

Dans un autre exemple, un grand opérateur télécom européen a estimé qu’une attaque réussie sur son infrastructure DNS pourrait affecter plus de 10 millions d’utilisateurs en moins de 24 heures, soulignant l’importance critique de la sécurité DNS pour les services essentiels.

Perspectives futures et bonnes pratiques

À mesure que l’Internet continue d’évoluer, la sécurité DNS reste un enjeu fondamental. Les organisations devraient adopter une approche proactive de la sécurité DNS en :

  1. Implémentant DNSSEC : Pour ajouter une couche d’authenticité et d’intégrité aux réponses DNS
  2. Surveillent activement les mises à jour de sécurité : Pour s’assurer que les vulnérabilités connues sont corrigées rapidement
  3. Diversifient leurs fournisseurs DNS : Pour réduire la dépendance à une seule implémentation ou fournisseur
  4. Testent régulièrement leur résilience : À travers des simulations d’attaques et des exercices de réponse aux incidents

“La sécurité DNS n’est pas une option mais une nécessité pour tout organisation souhaitant préserver la confiance de ses clients et l’intégrité de ses services numériques”, déclare un expert en sécurité interrogé par nos soins.

Processus de mise à jour recommandé

Pour les administrateurs systèmes devant mettre à leurs serveurs BIND 9, voici le processus recommandé :

# 1. Vérification de la version actuelle
named -v

# 2. Sauvegarde de la configuration existante
cp /etc/bind/named.conf /etc/bind/named.conf.bak

# 3. Arrêt sécurisé du service
systemctl stop bind9

# 4. Téléchargement et installation de la version corrigée
wget https://downloads.isc.org/isc/bind9/9.18.1/bind-9.18.41.tar.gz
tar -xzf bind-9.18.41.tar.gz
cd bind-9.18.41
./configure
make
make install

# 5. Redémarrage du service
systemctl start bind9

# 6. Vérification du bon fonctionnement
systemctl status bind9
nslookup example.com 127.0.0.1

Conclusion et prochaines actions

La découverte de CVE-2025-40778 souligne l’importance cruciale de maintenir à jour les logiciels critiques de l’infrastructure Internet. Avec plus de 706 000 serveurs BIND 9 affectés dans le monde, cette vulnérabilité représente un défi majeur pour les administrateurs systèmes et les responsables de la sécurité.

L’ISC a clairement indiqué qu’aucune solution de contournement n’est disponible, rendant la mise à vers les versions corrigées (9.18.41, 9.20.15, et 9.21.14) la seule option viable pour se protéger contre cette menace.

Nous recommandons vivement aux organisations d’évaluer immédiatement leur exposition et de planifier une mise à jour urgente de leurs serveurs DNS BIND 9. Pour plus d’informations techniques, vous pouvez consulter la base de connaissances de l’ISC à l’adresse https://kb.isc.org/docs/cve-2025-40778.

Alors que les attaques contre l’infrastructure critique d’Internet se multiplient, la vigilance et la réactivité restent les meilleures défenses pour préserver l’intégrité et la confiance dans les systèmes DNS qui sous-tendent notre monde numérique connecté.