Re: Trou de securite Debian pour SSH/SSL

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
Subject: Re: Trou de securite Debian pour SSH/SSL
    Bonjour,

Patrice Karatchentzeff a écrit :
> Le 16 mai 2008 12:42, Olivier Allard-Jacquin <olivieraj@???> a écrit :
>
> [...
>
>>        A mon avis, cela risque de faire assez mal. Je ne connais pas les
>> statistiques d'utilisation de Debian pour des serveurs de "prod", que ce
>> soit dans les entreprises, les administrations, sur Internet, etc...
>> Mais en tout cas, ce problème va pas mal discréditer les administrateurs
>> qui poussent à l'utilisation de distributions Debian et affiliées, face
>> à des distributions commerciales (RedHat, MDV, Suze, etc...).

>
> bof... c'est un n-ième trou de sécurité et ça ne changera rien du tout
> : 99% (et je suis gentil) des gens n'y comprennent rien.


    99% "des gens normaux" ne comprendront rien à ce problème, peut-être.


    Mais des administrateurs système qui utilisent du SSL ou du SSH et qui
ne comprennent rien à ce problème-ci, ca c'est plus grave.


> Et puis, faut être réaliste : perso, c'est pas vraiment un truc que je
> déploie les clés... la plupart des usages sont hors-clés...


    Ca, c'est toi qui le dit. C'est un peu rapide comme affirmation.


    Personnellement, je mets en place une méthode de prise en main à
distance ("SSH callback", c'était le but final de ma dernière
conférence) et j'utilise les clefs SSH pour l'authentification. C'est
plutôt pratique lorsque certains de mes utilisateurs veulent garder leur
login/mot de passe de style "toto/toto", et que je doive me connecter en
SSH à leur place...


    Dans mon cas, sur 5 utilisateurs, 3 ont leur clef compromise (pour le
troll, ce sont 3 Ubuntistes...). Par chance, j'avais généré il y a des
années ma clef DSA personnelle sur une Mandrake, et donc elle n'est pas
impactée.


    Pour ce qui est de l'usage des clefs SSH, tu peux bénéficier d'une
triple sécurité que tu n'as pas avec un mot de passe :
- authentification du client ET du serveur, via les known_host
- authentification de l'utilsiateur, via les authorized_keys
- protection de la clefs, via une "phrase secrète"


    Cela permet en plus, pour tout les scripts automatiques qui doivent
transférer des données d'une machines à l'autre, de ne pas laisser
traîner des mots de passe en clair un peu partout. Un ami travaillant à
HP me disait que c'est ce qu'ils mettaient en place progressivement.


    Raison pour laquelle l'authentification par clef se démocratise.


> Donc, AMHA, à part les geeks qui aiment bien se tirer dessus sur les
> listes et autres fora, il y a peu de chance que cela ait le moindre
> impact.


    As-tu remarqué que le problème impact à la fois SSH ET SSL. Et qui dit
SSL, dit aussi certificats HTTPS / FTP Sécurisé (FTP+TLS), etc...


    Je ne sais pas exactement dans quelle mesure cela impacte le HTTPS,
mais il y a, à mon avis, un risque que cela compromette la qualité de
cryptage de la connexion entre client et serveur. Et là, c'est un peu
plus critique, parce que les serveurs qui utilisent du HTTPS, il y en a
un paquet...


    Cordialement,
                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!