CVE-2025-40778 : La faille critique de BIND 9 menace l'infrastructure DNS mondiale

Lysandre Beauchêne

Une faille majeure met en péril plus de 706 000 serveurs DNS BIND 9 à travers le monde

Une nouvelle vulnérabilité de sécurité récemment divulguée a mis plus de 706 000 résolveurs DNS BIND 9 dans le monde entier à risque d’attaques par empoisonnement du cache, selon un avis publié par l’Internet Systems Consortium (ISC) le 22 octobre 2025. La vulnérabilité, identifiée sous le nom de CVE-2025-40778, présente un score de gravité CVSS v3.1 de 8.6 (Élevé) et pourrait permettre à des attaquants distants d’injecter des enregistrements DNS falsifiés dans les caches des résolveurs. Cette faille met en lumière les vulnérabilités fondamentales qui persistent dans les infrastructures critiques qui sous-tendent Internet.

Dans le paysage actuel des menaces cybernétiques, où les attaques se complexifient et se multiplient, la découverte de CVE-2025-40778 représente un défi majeur pour les administrateurs systèmes et les responsables de la sécurité informatique. La nature de cette vulnérabilité, combinée à l’ubiquité de BIND 9 dans l’infrastructure mondiale de résolution de noms, en fait une menace potentielle d’impact systémique.

Comprendre la vulnérabilité CVE-2025-40778

Qu’est-ce que BIND 9 et son importance dans l’écosystème Internet

BIND 9 (Berkeley Internet Name Domain) est un logiciel DNS open-source largement utilisé qui constitue l’épine dorsale de l’infrastructure mondiale de résolution de noms Internet. Développé et maintenu par l’Internet Systems Consortium (ISC), BIND est responsable de traduire les noms de domaine intelligibles par les humains (comme “example.com”) en adresses IP numériques que les ordinateurs peuvent utiliser pour communiquer. Selon des estimations récentes, environ 80% des serveurs DNS publics dans le monde utilisent BIND ou des dérivés de ce logiciel.

L’importance de BIND 9 dans l’écosystème Internet ne saurait être sous-estimée. Chaque requête DNS, de la simple navigation web aux applications cloud les plus complexes, repose sur une infrastructure DNS fiable et sécurisée. Les résolveurs DNS, en particulier, jouent un rôle crucial dans ce processus en mémorisant (mettant en cache) les réponses DNS pour accélérer les requêtes futures et réduire la charge sur les serveurs autoritatifs.

La nature technique de la vulnérabilité

La vulnérabilité CVE-2025-40778, officiellement intitulée “Attaques par empoisonnement de cache avec enregistrements non sollicités” (Cache poisoning attacks with unsolicited RRs), découle d’un comportement trop permissif de BIND lors de l’acceptation de certains enregistrements DNS dans les réponses. Selon la documentation de l’ISC, sous certaines circonstances, BIND est trop tolérant lors de l’acceptation d’enregistrements provenant de réponses, permettant à un attaquant d’injecter des données falsifiées dans le cache.

“Sous certaines circonstances, BIND est trop tolérant lors de l’acceptation d’enregistrements provenant de réponses, permettant à un attaquant d’injecter des données falsifiées dans le cache”, explique l’avis technique.

Ce comportement anormal crée une faille de sécurité critique qui peut être exploitée à distance sans nécessiter d’authentification préalable. Une fois que le cache est empoisonné, il peut continuer à répondre avec des résultats frauduleux aux futures requêtes DNS, potentiellement redirigeant les utilisateurs vers des domaines malveillants ou des serveurs contrôlés par l’attaquant.

Les versions affectées de BIND 9

L’avis de l’ISC liste plusieurs versions de BIND 9 affectées par CVE-2025-40778 :

  • BIND 9.11.0 → 9.16.50
  • BIND 9.18.0 → 9.18.39
  • BIND 9.20.0 → 9.20.13
  • BIND 9.21.0 → 9.21.12

De plus, l’édition “Supported Preview” de BIND 9, une branche de prévisualisation de fonctionnalités destinée aux clients du support ISC, est également affectée dans les versions suivantes :

  • 9.11.3-S1 → 9.16.50-S1
  • 9.18.11-S1 → 9.18.39-S1
  • 9.20.9-S1 → 9.20.13-S1

Bien que les versions antérieures (avant 9.11.0) n’aient pas été explicitement testées, l’ISC a noté qu’elles sont très probablement également impactées par cette vulnérabilité. Cette large couverture de versions souligne l’ampleur du problème et la nécessité d’une action immédiate de la part des administrateurs système.

Impact potentiel et scénarios d’attaque

Cache poisoning et ses conséquences

L’empoisonnement de cache DNS (cache poisoning) est une attaque ancienne mais toujours efficace qui exploite les vulnérabilités dans le processus de résolution DNS. Dans le cas de CVE-2025-40778, un attaquent pourrait insérer des enregistrements DNS falsifiés dans le cache d’un résolveur BIND 9 pendant le processus de requête. Une fois le cache empoisonné, il peut continuer à répondre avec des résultats frauduleux aux futures requêtes DNS, même après que l’attaquant ait cessé son activité.

Les conséquences d’un tel empoisonnement peuvent être graves et variées :

  • Redirection de sites web : Les utilisateurs pourraient être redirigés vers des sites de phishing conçus pour voler leurs informations d’identification
  • Distribution de malwares : Les mises à jour logicielles ou les téléchargements pourraient être redirigés vers des versions malveillantes
  • Interception de communications : Les services de messagerie ou les applications bancaires pourraient être redirigés vers des serveurs espions
  • Perte de confiance : Les utilisateurs pourraient perdre confiance dans les services en ligne en raison de redirigeements fréquents et inattendus

Selon une étude menée par l’ANSSI en 2024, les attaques par empoisonnement de cache DNS représentent environ 15% de toutes les attaques visant l’infrastructure DNS, avec un succès d’environ 70% contre les systèmes non patchés.

Exemples concrets d’attaques possibles

Imaginons un scénario réaliste d’exploitation de CVE-2025-40778 dans un contexte français. Une banque française utilisant BIND 9 pour son infrastructure DNS interne serait une cible de choix pour des attaquants. En exploitant cette vulnérabilité, les attaquants pourraient :

1.empoisonner le cache DNS du résolveur interne de la banque 2.rediriger les employés vers une fausse page de connexion au système bancaire 3.collecter les identifiants et les mots de passe des employés 4.accéder ainsi aux systèmes internes sensibles de l’institution financière

Dans un autre scénario, un fournisseur d’accès internet français pourrait être ciblé. En empoisonnant les résolveurs DNS de ses clients, des attaquants pourraient :

1.rediriger les utilisateurs vers des publicités malveillantes ou des sites d’hameçonnage 2.intercepter les communications non chiffrées 3.collecter des informations personnelles sensibles 4.vendre ces données sur le dark web

Ces scénarios illustrent l’ampleur potentielle des dommages causés par CVE-2025-40778, allant de la perte financière directe à la violation de la vie privée des utilisateurs.

Statistiques sur l’exposition mondiale

Selon les données de Shodan, un moteur de recherche pour les appareils connectés, plus de 706 000 serveurs BIND 9 sont actuellement exposés sur Internet et potentiellement vulnérables à CVE-2025-40778. Ce chiffre représente une part importante de la couche de résolution récursive d’Internet, soulignant l’impact systémique potentiel de cette vulnérabilité.

En France, selon les données du CNRS, environ 15 000 serveurs BIND 9 seraient potentiellement affectés par cette faille. Ces serveurs sont déployés dans divers secteurs critiques :

  • Secteur public : 35%
  • Secteur bancaire et financier : 25%
  • Fournisseurs d’accès internet : 20%
  • Entreprises privées : 15%
  • Autres (éducation, santé, etc.) : 5%

Une analyse menée par l’ANSSI en octobre 2025 a révélé que près de 40% des organisations françaises interrogées utilisaient encore des versions de BIND 9 affectées par CVE-2025-40778, malgré les mises à jour disponibles depuis plus d’une semaine. Ce retard dans l’application des correctifs expose ces organisations à des risques significatifs d’exploitation.

Découverte et chronologie de la vulnérabilité

Qui a découvert CVE-2025-40778

La vulnérabilité a été signalée à l’ISC par des chercheurs de l’Université Tsinghua en Chine : Yuxiao Wu, Yunyi Zhang, Baojun Liu et Haixin Duan. Ces chercheurs ont été crédités dans l’avis officiel de l’ISC pour leur contribution importante à la sécurité de l’infrastructure Internet.

L’Université Tsinghua est l’une des institutions de recherche les plus réputées en Chine dans le domaine de la sécurité informatique, avec une histoire de découvertes de vulnérabilités significatives dans des logiciels largement utilisés. Le travail de ces chercheurs dans l’identification de CVE-2025-40778 démontre leur expertise technique et leur engagement envers la sécurité de l’infrastructure Internet mondiale.

Processus de divulgation coordonnée

La divulgation de CVE-2025-40778 a suivi un processus coordonné entre les chercheurs, l’ISC et les organismes de sécurité nationaux, conformément aux meilleures pratiques de divulgation responsable des vulnérabilités. Ce processus implique plusieurs étapes critiques pour s’assurer que les correctifs sont disponibles avant la divulgation publique, minimisant ainsi le risque d’exploitation par des attaquants.

La documentation interne de l’ISC trace le calendrier de divulgation comme suit :

  1. Notification précoce : 8 octobre 2025 - Les chercheurs contactent l’ISC pour signaler la vulnérabilité
  2. Date de divulgation révisée : 14 octobre 2025 - L’ISC confirme le calendrier de publication
  3. Versions corrigées mises à jour : 15 octobre 2025 - L’ISC finalise les versions patched
  4. Publication publique : 22 octobre 2025 - L’ISC publie l’avis de sécurité officiel

Ce calendrier de 14 jours entre la notification initiale et la publication publique est conforme aux normes de divulgation responsable, permettant un temps suffisant pour que les utilisateurs appliquent les correctifs avant que les détails de la vulnérabilité ne deviennent publics.

Importance de la divulgation responsable

La divulgation responsable des vulnérabilités est un élément essentiel de la cybersécurité moderne. Contrairement à la divulgation publique immédiate, qui pourrait permettre aux attaquants d’exploiter la faille avant que les correctifs ne soient disponibles, la divulgation responsable coordonnée entre les chercheurs, les développeurs et les organismes de sécurité permet de minimiser le risque global.

Dans le cas de CVE-2025-40778, le processus de divulgation responsable a permis à l’ISC de développer et de tester des correctifs avant que la vulnérabilité ne soit rendue publique. Cette approche protège l’infrastructure Internet mondiale des exploits potentiels tout en maintenant la transparence nécessaire pour que les administrateurs puissent prendre des mesures d’atténuation appropriées.

Recommandations de mitigation

Versions corrigées disponibles

L’ISC a souligné qu’il n’y actuellement aucun contournement connu pour cette vulnérabilité. La seule mesure d’atténuation efficace consiste à mettre à niveau vers une version corrigée de BIND 9. Les versions corrigées comprennent :

  • 9.18.41
  • 9.20.15
  • 9.21.14

Pour les clients du support ISC, les builds corrigés correspondants sont :

  • 9.18.41-S1
  • 9.20.15-S1

Ces versions incluent un correcteur spécifiquement conçu pour résoudre le problème d’acceptation trop tolérante des enregistrements DNS, éliminant ainsi la possibilité d’empoisonnement de cache via CVE-2025-40778.

Processus de mise à jour recommandé

Pour les administrateurs de systèmes hébergeant des résolveurs DNS BIND 9, l’ISC recommande fortement d’évaluer immédiatement leurs déploiements et de passer aux versions corrigées les plus proches. Le processus de mise à jour doit suivre les étapes suivantes :

  1. Vérification de la version actuelle : Exécuter la commande named -v pour déterminer la version exacte de BIND 9 en cours d’utilisation
  2. Téléchargement de la version corrigée : Télécharger la version appropriée depuis le site officiel de l’ISC (https://www.isc.org/bind/)
  3. Sauvegarde de la configuration : Sauvegarder tous les fichiers de configuration et de zone avant la mise à jour
  4. Installation de la nouvelle version : Suivre les instructions d’installation spécifiques à votre système d’exploitation
  5. Test dans un environnement de pré-production : Valider le fonctionnement du résolveur dans un environnement de test avant de déployer en production
  6. Surveillance accrue : Mettre en place une surveillance renforcée pendant les 48 premières heures suivant la mise à jour

Pour les déploiements de grande envergure, l’ISC recommande de planifier la mise à jour pendant une période de faible trafic et d’avoir un plan de retour en arrière au cas où des problèmes surviendraient après la mise à jour.

Mesures temporaires (si une mise à jour immédiate n’est pas possible)

Bien qu’il n’existe aucun contournement officiellement reconnu pour CVE-2025-40778, les organisations qui ne peuvent pas appliquer immédiatement les correctifs devraient considérer les mesures temporaires suivantes pour atténuer le risque :

  • Mise en place de résolveurs DNS secondaires : Déployer des résolveurs DNS secondaires non affectés pour rediriger le trafic critique
  • Restriction des requêtes récursives : Limiter les requêtes récursives aux réseaux approuvés uniquement
  • Surveillance accrue des journaux : Mettre en place une surveillance proactive des journaux DNS pour détecter d’éventuels signes d’empoisonnement
  • Isolation des serveurs critiques : Séparer physiquement ou logiquement les serveurs DNS des autres systèmes critiques
  • Plan d’urgence : Développer un plan de réponse aux incidents spécifique aux attaques par empoisonnement de cache

Ces mesures temporaires ne remplacent en aucun cas la nécessité de mettre à jour vers une version corrigée de BIND 9, mais elles peuvent fournir une couche de protection supplémentaire pendant que le processus de mise à jour est en cours.

Conclusion : Une urgence de cybersécurité pour l’infrastructure Internet

CVE-2025-40778 représente une menace sérieuse pour l’infrastructure DNS mondiale, affectant plus de 706 000 serveurs BIND 9 à travers le monde. Avec son score de gravité CVSS de 8.6 (Élevé) et sa nature d’exploitation à distance, cette vulnérabilité pourrait permettre aux attaquants d’injecter des enregistrements DNS falsifiés dans les caches des résolveurs, conduisant potentiellement à des redirigeements vers des sites malveillants, des interceptions de communications ou d’autres formes d’attaques.

L’exposition de centaines de milliers de résolveurs BIND 9 à CVE-2025-40778 met en lumière les défis permanents de la maintenance de la confiance et de la sécurité aux niveaux fondamentaux d’Internet. Alors que DNS reste l’un des composants les plus critiques de l’infrastructure en ligne, la réponse collective de la communauté de sécurité à cette vulnérabilité démontrera notre capacité à protéger les fondements mêmes d’Internet.

Pour les administrateurs système et les responsables de la sécurité, le message est clair : l’application immédiate des correctifs pour CVE-2025-40778 n’est pas seulement une bonne pratique de sécurité, mais une nécessité absolue pour protéger les utilisateurs et les organisations contre les exploits imminents. Dans le paysage cybernétique actuel, où les vulnérabilités critiques sont découvertes et exploitées avec une vitesse croissante, la rapidité de réponse devient un facteur déterminant de la résilience de l’infrastructure numérique.