Re: Trou de securite Debian pour SSH/SSL

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: guilde
CC: guilde
Subject: Re: Trou de securite Debian pour SSH/SSL
    Salut Patrice,

Patrice Karatchentzeff a écrit :
> Le 16 mai 2008 15:45, Olivier Allard-Jacquin <olivieraj@???> a écrit :
>> Patrice Karatchentzeff a écrit :
>>> Le 16 mai 2008 15:25, Olivier Allard-Jacquin <olivieraj@???> a écrit :
>
> [...]
>
>>> Oui, il y en a un paquet mais la plupart ont des certificats
>>> auto-signés donc cela ne change rien...
>>        Pardons ?

>>
>>        Tu parles de quoi là ?

>>
>> - Authenticité: Attaque de type "man in the middle", où un attaquant
>> pourrait se faire passer pour le serveur sur lequel tu veux te connecter ?
>> - Confidentialité: Impact sur la qualité du chiffrage SSL négocié entre
>> client et serveur ? On parle là de risque que les données chiffrées
>> soient exposées.
>
> Je dis que la sécurité est souvent le dernier souci des admins (preuve
> : la multiplicité des certificats self-signed) donc ils ne sont pas à
> cela près.


    Un certificat self-signed, n'est pas moins bon qu'un certificat signée,
tant en terme d'authentification qu'en terme de chiffrement :


- En terme d'authentification, c'est à l'utilisateur final de savoir si
oui ou non il fait confiance dans l'unité de certification, c'est à dire
le serveur HTTPS pour lequel il se connecte la première fois. Si
l'utilisateur donne cette confiance une première fois, par exemple dans
un réseau d'entreprise en connectant son laptop directement au serveur,
la chaîne de confiance est maintenue, même si le laptop sort du réseau
de l'entreprise. Et si un petit malin tente une attaque de type "man in
the middle", l'utilisateur verra que le certificat à changé, et ce sera
à lui de le refuser.

- Pour ce qui est du chiffrement, utiliser un certificat self-signed ou
non ne change rien en la *qualité* du chiffrement. Evidement, si d'un
coté tu utilises une clef de 64 bit et de l'autre du 4096, ce n'est plus
pareil. Charge à l'administrateur d'utiliser les bonnes valeurs du
niveau de chiffrement (dans le cas d'une Debian la valeur par défaut est
du 1024 ou du 2048, ce qui est, actuellement, suffit).

    Maintenant, pour en revenir à ce problème qui impacte les Debian & Co,
je pense que la faiblesse des clefs générées peuvent mettre en danger la
qualité de chiffrement entre client et serveur. Et c'est là le problème.


> Si la sécurité avait ne serait-ce qu'un peu d'importance, personne
> n'utiliserait Windows en entreprise par exemple.


    C'est amusant, c'est la 2nd fois que tu ramènes tout de MS/Windows dans
cette discussion... ;) Tu veux détourner la conversation ? ;)


<humour mode="facile">
Et à la place des Windows, tu mettrais quoi en entreprise ? Des
machines sous Debian, qui *ELLES* sont tout à fait irréprochable en
terme de sécurité ?
</humour>

    J'avoue, elle était facile celle-là... ;)


    Dans beaucoup d'entreprises, la sécurité se limite à blinder les
connexions vers l'extérieur, et à séparer clairement les divers zones:
le LAN, le DMZ (qui gères les services "publiques" comme le serveur
web), et le reste du monde.


    Après, tu évites que les machines ne se tapent trop dessus entre elles,
en installant des antivirus sur les postes clients.


> La sécurité est la plupart du temps qu'un concept, pas une réalité.


    La sécurité est un compromis entre un idéal (*) et la réalité (**). De
là à dire que tous les gens qui administrent des machines s'en foutent
royalement, il y a quand même un pas.


(*): Personne ne parle à personne, les câbles réseaux sont débranchés,
les machines sont scellées au mur et tout les connecteurs désactivés
(**): Il faut bien que les gens bossent...

    Que Mme Michue n'ai pas de  mot de passe sur sa Deb..., pardons, son
Windows, non mis à jours, c'est un fait.


    Mais de la à minimiser l'importance que les 2 dernières années de clefs
SSH/SSL générées sur des distributions populaires (Debian, Ubuntu, et
autres) soit des failles de sécurité, s'en ait une autre.



    Cordialement,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!