La vulnérabilité constitue une menace faible car elle est relativement rare, mais des mesures d’atténuation du protocole pourraient neutraliser le piratage.
Conclusion : Les chercheurs en sécurité ont mis au point une nouvelle façon de voler les clés cryptographiques dans les communications ordinateur-serveur Secure Shell (SSH). Des connexions SSH compromises pourraient permettre à des acteurs malveillants de surveiller ou d’exfiltrer les données échangées entre les serveurs d’entreprise et les clients distants. L’étude s’appuie sur les recherches menées au cours des 25 dernières années.
L’exploit exploite des erreurs de calcul mineures se produisant naturellement lors de la négociation SSH. Heureusement, cela ne fonctionne que pour le cryptage RSA. Malheureusement, les algorithmes RSA représentent environ un tiers des sites testés. Sur environ 3,5 milliards de signatures examinées sur des sites Web publics au cours des sept dernières années, environ un milliard a utilisé le RSA. Dans ce sous-groupe, environ une implémentation sur un million a exposé ses clés SSH.
« Dans nos données, environ une signature SSH sur un million a exposé la clé privée de l’hôte SSH », a déclaré le co-auteur Keegan Ryan à Ars Technica. « Bien que cela soit rare, la quantité massive de trafic sur Internet implique que ces failles RSA dans SSH se produisent régulièrement. »
Pour aggraver les choses, les pirates pourraient utiliser la même technique ou une technique similaire pour compromettre les connexions IPsec. Dans leur article récemment publié « Passive SSH Key Compromise via Lattices », les chercheurs soulignent que cela pourrait sonner le glas des entreprises ou des individus utilisant des VPN pour sécuriser leurs connexions et masquer leur trafic Internet.
« Dans cet article, nous montrons que la récupération passive de clé RSA à partir d’une seule signature défectueuse complétée par PKCS#1 v1.5 est possible dans les protocoles SSH et IPsec en utilisant une attaque en réseau décrite par Coron et al », indique l’introduction de l’étude.
L’exploit hérité a intentionnellement provoqué une erreur dans la poignée de main en perturbant le processus. Alternativement, les attaquants pourraient attendre passivement que cela se produise. Après avoir capturé la signature défectueuse, elle est comparée à une signature valide en utilisant une opération du « plus grand dénominateur commun » pour récupérer l’un des nombres premiers sécurisant la clé. Cependant, cette nouvelle attaque utilise une émanation de la cryptographie basée sur un réseau.
Une fois que les attaquants ont la clé, ils peuvent lancer une attaque de l’homme du milieu. Le serveur contrôlé par les pirates informatiques utilise la clé mal obtenue pour usurper l’identité du serveur compromis, interceptant et répondant aux communications SSH entrantes. À partir de là, les informations d’identification et autres informations sont facilement volées. La même chose peut se produire avec le trafic IPsec si les attaquants obtiennent une clé défectueuse.
Le groupe a principalement trouvé la faiblesse des appareils de quatre fabricants : Cisco, Zyxel, Hillstone Networks et Mocana. Les chercheurs ont informé les OEM de la vulnérabilité avant la publication. Seuls Cisco et Zyxel ont répondu immédiatement – Hillstone a répondu après la publication.
Les récentes atténuations apportées à Transport Layer Security ont renforcé ses défenses contre de telles attaques. Ryan affirme que d’autres protocoles sécurisés doivent mettre en œuvre des mesures similaires, notamment SSH et IPsec, car ils sont très largement utilisés. Néanmoins, les risques individuels liés à ces types de piratages sont relativement faibles.
Vous pouvez lire ou télécharger tous les détails techniques contenus dans l’article sur le site Web Cryptology ePrint Archive.
Crédit image : Keegan Ryan et coll.