Mercredi 3 septembre 2008
Il n'est pas inutile de se remémorer un fait marquant de la fin du premier semestre 2008. Une malencontreuse modification du générateur de nombres aléatoires du paquet OpenSSL de Debian (et donc
Ubuntu) a entrainé des générations de clés asymétriques trop facilement prédictibles.
En effet, les clés asymétriques telles que celles utilisées par SSH sont générées aléatoirement avec, en principe, une probabilité infinitésimale de pouvoir regénérer le même couple de clés. Mais là, visiblement, le nombre aléatoire se résumait à un simple PID, donc seulement 32768 valeurs possibles. Trop faible.
Certains dessinateurs s'en sont donné à coeur joie :
Le plus délicat est que OpenSSL est la pierre angulaire de bon nombre
d'éléments de sécurité :
- les clés SSH ,
- les clés d’OpenVPN,
- les clés DNSSEC,
- les clés et les aléas des certificats X509,
- les clés de session dans SSL/TLS,
- les clés des sessions de connexion sans fil WPA-Enterprise,
...
De plus, cette vulnérabilité peut se propager à d'autres systèmes. L'exemple le plus simple est un serveur sous une distribution quelconque mais qui contient des clés publiques d'utilisateurs générées sous un système Debian pendant les un an et demi qu'a duré cette faille...
Allez, un petit dernier pour la route :
Sources :
- securite-informatique.gouv.fr
- sid.rstack.org
En effet, les clés asymétriques telles que celles utilisées par SSH sont générées aléatoirement avec, en principe, une probabilité infinitésimale de pouvoir regénérer le même couple de clés. Mais là, visiblement, le nombre aléatoire se résumait à un simple PID, donc seulement 32768 valeurs possibles. Trop faible.
Certains dessinateurs s'en sont donné à coeur joie :
Le plus délicat est que OpenSSL est la pierre angulaire de bon nombre
d'éléments de sécurité :- les clés SSH ,
- les clés d’OpenVPN,
- les clés DNSSEC,
- les clés et les aléas des certificats X509,
- les clés de session dans SSL/TLS,
- les clés des sessions de connexion sans fil WPA-Enterprise,
...
De plus, cette vulnérabilité peut se propager à d'autres systèmes. L'exemple le plus simple est un serveur sous une distribution quelconque mais qui contient des clés publiques d'utilisateurs générées sous un système Debian pendant les un an et demi qu'a duré cette faille...
Allez, un petit dernier pour la route :
Sources :
- securite-informatique.gouv.fr
- sid.rstack.org
Articles récents
- Cloner son système Linux
- Générer sous Linux un exe Win$ d'une appli java
- Raccourcis claviers vi/vim
- Regénérer un mot de passe SPIP
- find and replace avec sed
- Error retrieving free/busy information for xxx@domaine.com: No free/busy url found for xxx@domaine.com
- Faille dans Openssl sous Debian
- Compromission des serveurs de paquets Fedora/RedHat
- L'angoisse Edvige
- Compromission de système Linux
Recherche
Catégories
- Sécurité (3)
- Société (1)
- Services réseau (2)
- shell (3)
- Développement (1)
