Il est censé sécuriser
votre réseau, et on s'aperçoit aujourd'hui qu'il peut
également le rendre vulnérable aux attaques. C'est
OpenSSH, un programme de cryptage présent dans bon nombre
de distributions libres d'Unix - comme OpenBSD et FreeBSD -,
ainsi que sur la plupart des distributions de Linux. Un programme
qui tourne sur des OS dont la vocation est - entre autres -
de sécuriser les réseaux d'entreprise. Pour ces serveurs
là, il faut évidemment prendre l'alerte très
au sérieux : "L'annonce est vraiment très
inquiétante" confirme Ludovic Blin, expert en sécurité
informatique.
Prise de contrôle
en mode administrateur
Selon le Cert, la faille a été
constatée sur les versions 2.3.1 à 3.3 du programme
de cryptage. "Si et seulement si la fonction PAM est activée"
ajoute Ludovic Blin, ce qui ne semble pas être le cas par
défaut sur tous les systèmes. Comme souvent, le problème
vient de ce que OpenSSH
gère
de façon déficiente la saturation de la mémoire
tampon allouée aux requêtes entrantes. Un pirate pourrait
donc en exploitant cette faille introduire quelques lignes de code
sur un serveur et les exécuter. Un tour de force qu'aucun
hacker n'a réussi à concrétiser à cette
heure : "Il n'y a pas de cas reférencé.
Mais il est possible que certain pirates plus discrets que d'autres
aient utilisé la faille sans la rendre publique".
Circonstances aggravantes : les
serveurs qui utilisent OpenSSH fonctionnent en mode administrateur.
Ce qui signifie qu'un pirate qui aura passé la barrière
pourra prendre le contrôle de la machine avec les pleins pouvoirs
sur le système. Un scénario cauchemardesque qui
pose bien des questions sur le niveau de protection des applications
qui gérent la sécurité des réseaux d'entreprise.
"Il n'y a pas de système infaillible, il faut le dire
et le répéter. A cette heure, il y a sans doute bon
nombre de failles existantes exploitées par des pirates discrets".
D'où l'intérêt d'équiper son réseau
avec des sondes de détection d'intrusion sophistiquées,
lorsque le niveau de sécurité l'exige en tout cas.
Le bien que l'on
trouve dans le mal
Un rayon de soleil dans ce tableau plutôt
sombre : la communauté open-source a amélioré
sa coordination depuis l'affaire
Apache. Ce qui est rassurant puisque le principal protagoniste
de l'annonce sur OpenSSH n'est autre qu' ISS, l'organisme
qui avait mis à jour la faille critique d'Apache il y a quelques
semaines. A l'époque, le comportement d' ISS avait été
tout sauf exemplaire. Oubliant qu'Apache avait été
développé par la fondation Apache, ISS avait publié
son alerte et son correctif - peu efficace - sans rien
en dire à l'organisation.
Il semble qu'ISS se soit fait rappeler
à l'ordre, et que la communauté opensource ait remis
les pendules à l'heure :
cette
fois-ci ISS a prévenu le développeur en chef d'OpenSSH et
s'est assuré de la disponibilité d'un Patch de qualité
avant de publier son alerte. L'auto-contrôle a fonctionné
de manière efficace dans la communauté open-source :
la leçon a été retenue.
Rappelons tout de même que maintenant
que les pirates sont informés de l'existence d'une faille
très dangereuse dans OpenSSH, il est urgent de leur barrer
la route en allant consulter l'alerte
d'ISS, et en téléchargeant les correctifs nécessaires.
[Nicolas Six, JDNet]