En matière de sécurité
logicielle, ce ne sont pas toujours les vulnérabilités
les plus récentes qui sont les plus préoccupantes.
Une constatation qui ne doit pas empêcher de se
tenir au courant aussi des alertes les plus récentes...
Assez souvent, l'un des principaux facteurs de risques
qui se distingue apparaît plutôt être
l'exploitabilité de la faille au regard du périmètre
d'ordinateurs impactés sur un réseau.
Ce facteur dépend de nombreux critères
dont la facilité pour des non-spécialistes
de détourner le fonctionnement primaire de l'outil,
et ce quelle que soit la complexité initiale
de la démarche. De fait, une vulnérabilité
médiatisée avec une description détaillée
pas à pas des étapes pour l'exploiter
devient a priori plus dangereuse dans le monde réel
qu'un concept, le plus inquiétant soit-il, si
celui-ci ne sort pas d'un cadre restreint à certains
spécialistes très pointus et non dénués
d'une certaine éthique.
La solution
préconisée : mise à jour vers SSH
2.0
Un exemple
particulièrement frappant nous est fourni cette
semaine par le prestataire français de veille
et d'audits de sécurité Vigisafe.
Celui-ci
a mené pour son propre compte et au bénéfice
de ses clients une étude technique, non intrusive
pour des raisons légales, portant sur le nombre
de serveurs en Europe de l'Ouest encore vulnérables
à la faille SSH CRC 32, présentée
parmi d'autres dans un article de novembre 2001.
Suivant un principe très simple, des experts
de la société ont envoyé des requêtes
en récupérant la "bannière"
de chaque serveur en retour, c'est à dire les
données de configuration accessibles avec les
différentes versions des outils installés.
Au passage, moins de 1 % des machines se sont montrées
protégés contre la divulgation de ces
informations, et selon l'un des ingénieurs de
Vigisafe les leurres avec de "fausses bannières"
ont du représenter une quantité négligeable.
Réalisée sur un panel de 51 611 serveurs
principalement français, britanniques et allemands
équipés de l'une des nombreuses implémentations
du protocole d'administration sécurisée
à distance, l'enquête a abouti à
des résultats surprenants. Précisons que
la faille n'est théoriquement plus exploitable
à partir de la version 2.0 de SSH, et que les
tests ont été réalisés au
dessus d'une base de données intégrant
la liste de toutes les transpositions faillibles recensées.
"Nous nous attendions à ce que 15 %
environ du panel soit toujours vulnérable"
rapporte le directeur général de Vigisafe,
Pascal Le Solliec (lire
sa fiche dans le Carnet des Managers du JDNet).
"Au total, ce sont 55,4 % des serveurs SSH
présents sur le réseau européen
qui sont encore vulnérables à cette faille
parue il y a maintenant 8 mois. [...] Habituellement,
nous gardons nos alertes pour nos clients. Mais quand
nous sommes tombés là-dessus, il nous
a paru important de le rendre public."
Un possible
ver qui exploiterait la faille SSH ?
"Récemment,
l'exploit qui permet d'attaquer près de 80 versions
ou implémentations différentes de SSH
a été mis à la disposition du public
sur [un site spécialisé assez fréquenté]",
indique l'ingénieur en sécurité
de Vigisafe qui préfère ne pas dévoiler
son identité. "Beaucoup de serveurs ont
déjà été piratés
par ce biais, en particuliers par des brésiliens
qui sont aujourd'hui assez actifs", dans le mauvais
sens du terme. Parmi les plus préoccupantes,
"il y a donc cette faille, et celle de PHP qui
a également été publiée.
Nous savons ce qui se passe car nous avons des oreilles
un peu partout."
"Il existe plusieurs façons de faire de
la veille", affirme de son côté Pascal
Le Solliec. "En ce qui nous concerne, nous correspondons
avec le milieu des hackers éthiques (les "white
hats" tels que les appellent parfois la communauté
d'acteurs de la sécurité, ndlr). En quelque
sorte, nous suivons la R&D des hackers." Or,
sans que la réalité d'un ver de type Nimda
ou Code Red tirant parti de la faille SSH CRC 32 ne
soit prouvée, il semblerait que sa faisabilité
ait été étudiée... "Si
un ver exploitait cette vulnérabilité,
sa propagation pourrait être foudroyante"
souligne le directeur général de Vigisafe.
Même si l'idée semble ici relever du concept,
le détail pas à pas de l'attaque type
est à présent accessible. L'exploitabilité
de cette faille, jugée pourtant complexe lors
de sa découverte, est donc aujourd'hui plus élevée.
Pour passer au travers des attaques, les organismes
de référence comme le Cert
ou le Ciac
américains (liens vers les bulletins d'alertes
ou notes d'incidents) suggèrent de passer à
une implémentation de la v2.0 du protocole, ou
d'installer les correctifs qui dépendent du produit
concerné. Une petite rustine pour éviter
de gros problèmes.
|