En matière de sécurité logicielle, ce ne sont pas toujours les vulnérabilités les plus récentes qui sont les plus préoccupantes. Une constatation qui ne doit pas empêcher de se tenir au courant aussi des alertes les plus récentes... Assez souvent, l'un des principaux facteurs de risques qui se distingue apparaît plutôt être l'exploitabilité de la faille au regard du périmètre d'ordinateurs impactés sur un réseau. Ce facteur dépend de nombreux critères dont la facilité pour des non-spécialistes de détourner le fonctionnement primaire de l'outil, et ce quelle que soit la complexité initiale de la démarche. De fait, une vulnérabilité médiatisée avec une description détaillée pas à pas des étapes pour l'exploiter devient a priori plus dangereuse dans le monde réel qu'un concept, le plus inquiétant soit-il, si celui-ci ne sort pas d'un cadre restreint à certains spécialistes très pointus et non dénués d'une certaine éthique.

La solution préconisée : mise à jour vers SSH 2.0
Un exemple particulièrement frappant nous est fourni cette semaine par le prestataire français de veille et d'audits de sécurité Vigisafe. Celui-ci a mené pour son propre compte et au bénéfice de ses clients une étude technique, non intrusive pour des raisons légales, portant sur le nombre de serveurs en Europe de l'Ouest encore vulnérables à la faille SSH CRC 32, présentée parmi d'autres dans un article de novembre 2001. Suivant un principe très simple, des experts de la société ont envoyé des requêtes en récupérant la "bannière" de chaque serveur en retour, c'est à dire les données de configuration accessibles avec les différentes versions des outils installés. Au passage, moins de 1 % des machines se sont montrées protégés contre la divulgation de ces informations, et selon l'un des ingénieurs de Vigisafe les leurres avec de "fausses bannières" ont du représenter une quantité négligeable.

Réalisée sur un panel de 51 611 serveurs principalement français, britanniques et allemands équipés de l'une des nombreuses implémentations du protocole d'administration sécurisée à distance, l'enquête a abouti à des résultats surprenants. Précisons que la faille n'est théoriquement plus exploitable à partir de la version 2.0 de SSH, et que les tests ont été réalisés au dessus d'une base de données intégrant la liste de toutes les transpositions faillibles recensées. "Nous nous attendions à ce que 15 % environ du panel soit toujours vulnérable" rapporte le directeur général de Vigisafe, Pascal Le Solliec (lire sa fiche dans le Carnet des Managers du JDNet). "Au total, ce sont 55,4 % des serveurs SSH présents sur le réseau européen qui sont encore vulnérables à cette faille parue il y a maintenant 8 mois. [...] Habituellement, nous gardons nos alertes pour nos clients. Mais quand nous sommes tombés là-dessus, il nous a paru important de le rendre public."

Un possible ver qui exploiterait la faille SSH ?
"Récemment, l'exploit qui permet d'attaquer près de 80 versions ou implémentations différentes de SSH a été mis à la disposition du public sur [un site spécialisé assez fréquenté]", indique l'ingénieur en sécurité de Vigisafe qui préfère ne pas dévoiler son identité. "Beaucoup de serveurs ont déjà été piratés par ce biais, en particuliers par des brésiliens qui sont aujourd'hui assez actifs", dans le mauvais sens du terme. Parmi les plus préoccupantes, "il y a donc cette faille, et celle de PHP qui a également été publiée. Nous savons ce qui se passe car nous avons des oreilles un peu partout."

"Il existe plusieurs façons de faire de la veille", affirme de son côté Pascal Le Solliec. "En ce qui nous concerne, nous correspondons avec le milieu des hackers éthiques (les "white hats" tels que les appellent parfois la communauté d'acteurs de la sécurité, ndlr). En quelque sorte, nous suivons la R&D des hackers." Or, sans que la réalité d'un ver de type Nimda ou Code Red tirant parti de la faille SSH CRC 32 ne soit prouvée, il semblerait que sa faisabilité ait été étudiée... "Si un ver exploitait cette vulnérabilité, sa propagation pourrait être foudroyante" souligne le directeur général de Vigisafe.

Même si l'idée semble ici relever du concept, le détail pas à pas de l'attaque type est à présent accessible. L'exploitabilité de cette faille, jugée pourtant complexe lors de sa découverte, est donc aujourd'hui plus élevée. Pour passer au travers des attaques, les organismes de référence comme le Cert ou le Ciac américains (liens vers les bulletins d'alertes ou notes d'incidents) suggèrent de passer à une implémentation de la v2.0 du protocole, ou d'installer les correctifs qui dépendent du produit concerné. Une petite rustine pour éviter de gros problèmes.