Il est censé sécuriser
votre réseau, et on s'aperçoit aujourd'hui
qu'il peut également le rendre vulnérable
aux attaques. C'est OpenSSH, un programme de cryptage
présent dans bon nombre de distributions libres
d'Unix - comme OpenBSD et FreeBSD -, ainsi
que sur la plupart des distributions de Linux. Un programme
qui tourne sur des OS dont la vocation est - entre
autres - de sécuriser les réseaux
d'entreprise. Pour ces serveurs là, il faut évidemment
prendre l'alerte très au sérieux :
"L'annonce est vraiment très inquiétante"
confirme Ludovic Blin, expert en sécurité
informatique.
Prise
de contrôle en mode administrateur
Selon le Cert, la faille
a été constatée sur les versions
2.3.1 à 3.3 du programme de cryptage. "Si
et seulement si la fonction PAM est activée"
ajoute Ludovic Blin, ce qui ne semble pas être
le cas par défaut sur tous les systèmes.
Comme souvent, le problème vient de ce que OpenSSH
gère
de façon déficiente la saturation de la
mémoire tampon allouée aux requêtes
entrantes. Un pirate pourrait donc en exploitant cette
faille introduire quelques lignes de code sur un serveur
et les exécuter. Un tour de force qu'aucun hacker
n'a réussi à concrétiser à
cette heure : "Il n'y a pas de cas reférencé.
Mais il est possible que certain pirates plus discrets
que d'autres aient utilisé la faille sans la
rendre publique".
Circonstances aggravantes :
les serveurs qui utilisent OpenSSH fonctionnent en mode
administrateur. Ce qui signifie qu'un pirate qui aura
passé la barrière pourra prendre le contrôle
de la machine avec les pleins pouvoirs sur le système.
Un scénario cauchemardesque qui pose bien
des questions sur le niveau de protection des applications
qui gérent la sécurité des réseaux
d'entreprise. "Il n'y a pas de système infaillible,
il faut le dire et le répéter. A cette
heure, il y a sans doute bon nombre de failles existantes
exploitées par des pirates discrets". D'où
l'intérêt d'équiper son réseau
avec des sondes de détection d'intrusion sophistiquées,
lorsque le niveau de sécurité l'exige
en tout cas.
Le bien
que l'on trouve dans le mal
Un rayon de soleil dans
ce tableau plutôt sombre : la communauté
open-source a amélioré sa coordination
depuis l'affaire
Apache. Ce qui est rassurant puisque le principal
protagoniste de l'annonce sur OpenSSH n'est autre
qu' ISS, l'organisme qui avait mis à jour
la faille critique d'Apache il y a quelques semaines.
A l'époque, le comportement d' ISS avait
été tout sauf exemplaire. Oubliant qu'Apache
avait été développé par
la fondation Apache, ISS avait publié son alerte
et son correctif - peu efficace - sans rien
en dire à l'organisation.
Il semble qu'ISS se soit
fait rappeler à l'ordre, et que la communauté
opensource ait remis les pendules à l'heure :
cette
fois-ci ISS a prévenu le développeur en
chef d'OpenSSH et s'est assuré de la disponibilité
d'un Patch de qualité avant de publier son alerte.
L'auto-contrôle a fonctionné de manière
efficace dans la communauté open-source :
la leçon a été retenue.
Rappelons tout de même
que maintenant que les pirates sont informés
de l'existence d'une faille très dangereuse dans
OpenSSH, il est urgent de leur barrer la route en allant
consulter l'alerte
d'ISS, et en téléchargeant les correctifs
nécessaires.
|