Des probabilités de visualisation des données en clair lors des connexions SSH

Par Xavier Poli, secuobs.com
Le 15/11/2008

---

Résumé : Une nouvelle attaque à l'encontre du protocole SSH serait possible, dans des conditions spécifiques, afin de pouvoir récupérer entre 2 et 4 octets de données en clair depuis un bloc aléatoire chiffrée lors d'une connexion établie à l'aide des implémentations qui respectent la RFC 4251 relative à ce protocole. - Lire l'article



Martin Albrecht, Kenny Paterson et Gaven Watson, tous les trois membres d’un groupe sur la sécurité informatique ( ISG - lien ) au sein de l’Université de Londres de la Royal Holloway, viennent de publier sur le CPNI ( Centre for the protection of national infrastructure - lien ) une vulnérabilité relative au protocole réseau SSH ( Secure Shell - lien ) ; pour rappel SSH permet de prendre le contrôle à distance d’un ordinateur via l’établissement d’un canal de sécurité où les données transitent de façon chiffrée.

Selon les travaux de ces chercheurs, cette attaque serait fonctionnelle sur la version 4.7p1 de l’implémentation du protocole dans la solution libre OpenSSH ( lien ) ; cette version aurait été exécutée lors des tests sur un système d’exploitation de type GNU/Linux et plus précisément sur une distribution Debian ( lien ). L’ensemble des versions d’OpenSSH respectant la RFC 4251, soit plus particulièrement la demande de l'établissement d'une nouvelle connexion lors de la rencontre d'une erreur, seraient également concernées par cette vulnérabilité au même titre que d’autres implémentations de ce protocole qui n’ont cependant pas encore été testées.

L’application de cette attaque sur OpenSSH offrirait des probabilités de réussite plus ou moins faibles mais existantes selon les variantes ; dans un cas positif, elles pourraient permettre à un attaquant de récupérer entre 16 et 32 bits de données en clair depuis un bloc aléatoire issu d’une connexion établie entre un serveur OpenSSH configuré en mode standard et un poste client. Les trois chercheurs affirment que ces probabilités pourraient s’avérer bien plus importantes sur d’autres implémentations du protocole.

Coté technique, l’attaque serait basée sur l’analyse comportementale d’un serveur OpenSSH lors du traitement de certains types d’erreurs. La solution à ce problème serait déjà existante puisqu’elle consisterait uniquement à configurer le serveur de manière à ce qu’il privilégie l’utilisation d’un mode de chiffrement CTR ( Integer Counter Mode - lien ) par flux basé sur un compteur plutôt que l’utilisation standard du mode de chiffrement CBC ( Cipher Block Chaining - lien ) basé sur l’enchainement des blocs.

L’utilisation de CTR induit un chiffrement indépendant des valeurs successives du compteur pour le flux des clés alors que le chiffrement CBC repose sur un concept où le chiffrement d’un bloc est dépendant du chiffrement du bloc le précédant. OpenSSH supporte déjà le mode CTR qui, utilisé conjointement au seul algorithme de chiffrement symétrique Rijndael ( Advanced encryption standard - lien ), serait en mesure de limiter de façon optimale les probabilités de réussite d’une attaque basée sur la technique précédemment citée.

Le papier relatif à cette attaque est disponible sur le site du CPNI à l’adresse suivante ( lien ).