{"id":42,"date":"2009-07-19T10:03:49","date_gmt":"2009-07-19T09:03:49","guid":{"rendered":"http:\/\/vdeffontaines.free.fr\/newblog\/?p=42"},"modified":"2009-08-02T21:42:33","modified_gmt":"2009-08-02T20:42:33","slug":"securite-des-echanges-chiffres","status":"publish","type":"post","link":"https:\/\/blog.gryzor.com\/index.php\/2009\/07\/19\/securite-des-echanges-chiffres\/","title":{"rendered":"S\u00e9curit\u00e9 des \u00e9changes chiffr\u00e9s"},"content":{"rendered":"<p>Il y a un peu plus d&#8217;un an, nous avons \u00e9t\u00e9 frapp\u00e9s par la <a href=\"http:\/\/www.metasploit.com\/users\/hdm\/tools\/debian-openssl\/\" target=\"_blank\">fameuse faille OpenSSL<\/a> sur les syst\u00e8mes Debian.<br \/>\nPour r\u00e9sumer rapidement, l&#8217;espace de d\u00e9finition des cl\u00e9s de chiffrement s&#8217;est trouv\u00e9 r\u00e9duit de plusieurs milliards de milliards \u00e0 32767. Donc, si vous disposiez d&#8217;une cl\u00e9 SSL vuln\u00e9rable, je n&#8217;avais que 32767 essais (maximum) \u00e0 faire pour usurper votre identit\u00e9 sur votre syst\u00e8me.<\/p>\n<p>De mani\u00e8re assez curieuse, cette faille est rest\u00e9e tr\u00e8s longtemps (presque 2 ann\u00e9es!) en production sans que personne ne s&#8217;en aper\u00e7oive.<\/p>\n<p>Cet article propose une chose que nous aurions pu faire avant (et que nous pouvons faire aujourd&#8217;hui) pour d\u00e9tecter ce probl\u00e8me beaucoup plus rapidement. Il s&#8217;agit simplement de s&#8217;appuyer sur l&#8217;audit public. Cette proposition est particuli\u00e8rement pertinente pour l&#8217;utilisation de OpenSSH, mais doit probablement pouvoir s&#8217;\u00e9largir \u00e0 d&#8217;autres usages.<\/p>\n<p>Voici la proposition : modifier OpenSSH (ou OpenSSL?) pour qu&#8217;il compare chaque nouvelle cl\u00e9 publique re\u00e7ue avec les cl\u00e9s d\u00e9ja connues. Si la cl\u00e9 re\u00e7ue est la m\u00eame qu&#8217;une cl\u00e9 d\u00e9ja connue, pr\u00e9venir l&#8217;utilisateur.<\/p>\n<p>Voil\u00e0, c&#8217;est tout.<\/p>\n<p>Bien entendu, certaines personnes (et moi le premier) utilisent la m\u00eame cl\u00e9 sur plusieurs syst\u00e8mes. Les personnes qui font cela savent qu&#8217;ils le font, et ne seront pas perturb\u00e9es par l&#8217;avertissement. En revanche, quand il s&#8217;agira d&#8217;une cl\u00e9 fraichement g\u00e9n\u00e9r\u00e9e, je pense qu&#8217;il serait particuli\u00e8rement int\u00e9ressant d&#8217;\u00eatre au courant que c&#8217;est la m\u00eame cl\u00e9.<\/p>\n<p>Voil\u00e0, avec un tel syst\u00e8me, je pense que 15 jours apr\u00e8s la mise en production de la faille OpenSSL, la communaut\u00e9 se serait rendue compte que quelque chose ne tournait pas rond. Mieux vaut tard que jamais, je propose donc de modifier les outils pour lesquels ce type de process peut am\u00e9liorer la s\u00e9curit\u00e9 (pour moi, au minimum, c&#8217;est le cas pour OpenSSH).<\/p>\n<p>Les cr\u00e9dits de cette id\u00e9e vont \u00e0 X. Desurmont PhD.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il y a un peu plus d&#8217;un an, nous avons \u00e9t\u00e9 frapp\u00e9s par la fameuse faille OpenSSL sur les syst\u00e8mes Debian. Pour r\u00e9sumer rapidement, l&#8217;espace de d\u00e9finition des cl\u00e9s de chiffrement s&#8217;est trouv\u00e9 r\u00e9duit de plusieurs milliards de milliards \u00e0 32767. Donc, si vous disposiez d&#8217;une cl\u00e9 SSL vuln\u00e9rable, je n&#8217;avais que 32767 essais (maximum) [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[3],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts\/42"}],"collection":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/comments?post=42"}],"version-history":[{"count":10,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts\/42\/revisions"}],"predecessor-version":[{"id":52,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/posts\/42\/revisions\/52"}],"wp:attachment":[{"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/media?parent=42"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/categories?post=42"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.gryzor.com\/index.php\/wp-json\/wp\/v2\/tags?post=42"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}