Des outils en libre-service pour craquer les clés des systèmes Debian et Ubuntu
Un spécialiste de la sécurité du Debian Project vient de révéler qu'une vulnérabilité récemment découverte dans les distributions Linux les plus répandues permettrait à des hackers de créer de fausses clés de chiffrement, de contrefaire des signatures électroniques et de mettre la main sur des informations confidentielles. Beaucoup de travail avant d'identifier les clés contrefaites HD Moore, qui a créé le Projet Metasploit, une plate-forme open source de développement et de tests de méthodes de piratage, a qualifié cette vulnérabilité d'« horrible ». Selon lui, les administrateurs systèmes vont avoir beaucoup de travail pour repérer les clés contrefaites et les corriger. Le bogue se trouve dans le générateur de nombres aléatoires utilisé pour créer des clés numériques dont celles de SSH (Secure Shell) et de SSL (Socket Secure Layer), qui sécurisent le trafic sur Internet entre l'internaute et le site Web. Des clés de 1024 et 2048 bits en deux heures Selon HD Moore, il est relativement aisé de « deviner » la clé. Dans son blog, il a affirmé qu'il était capable de générer des clés de 1024 et de 2048 bits en deux heures. Une clé de 8192 bits nécessiterait 129 jours. Par ailleurs, il a publié plusieurs outils de génération de clés, surnommés ......les Jouets. Lancée dans la nature, cette information a alerté la communauté des spécialistes en sécurité qui sonnent le tocsin. « La menace est très, très, très sérieuse, estime Bojan Zdrnja, analyste pour l'Internet Storm Center (ISC). Symantec a également alerté les utilisateurs. Il signale qu'un autre pirate a publié un outil qui automatise l'attaque des failles des clés. Regénérer les clés Ce problème concerne virtuellement tout le monde. Des informations sécurisées grâce à des clés générées par un système Debian et copiées sur une autre plate-forme peuvent être dérobées. Il est donc urgent que les utilisateurs de Debian et d'Ubuntu protègent leurs systèmes (des correctifs sont disponibles). Ils devront également re-générer les clés créées entre septembre 2006 et le 13 mai 2008. Cependant, HD Moore doute qu'il y ait une offensive générale. Les attaques se concentreront plutôt sur les systèmes administrant un grand nombre d'utilisateurs de Debian. Par ailleurs, il a nié tout lien entre son annonce et la vague récente d'attaques dénoncées par des fournisseurs de produits de sécurité, dont Symantec. « Elles portaient sur les mots de passe des utilisateurs, pas sur les clés d'authentification. C'est juste une coïncidence. »
