L'avis de CORE SDI présente dans cet avis un scénario permettant à un tiers de déchiffrer la clef de session utilisée lors d'un dialogue chiffré entre un client et un serveur SSH-version1. Ce scénario est une version améliorée d'une attaque décrite en 1998 par D. Bleichenbacher concernant le protocole d'échange des clefs "PKCS#1 version 1.5" de RSA (protocole utilisé par SSH-version1)(Cf. avis CERT-IST B10/22).

La réussite de cette attaque suppose des conditions bien particulières :

• le tiers doit être sur le chemin entre le client et le serveur SSH (de façon à capturer le trafic échangé),
• le serveur SSH doit traiter les tentatives envoyées par le tiers à un rythme suffisamment rapide pour que la clef du serveur SSH n'arrive pas à expiration (cette clef expire par défaut au bout d'une heure). Il a été estimé que le flux des tentatives devait être de l'ordre de 400 par seconde pour que la clef soit "cassée" en moins d'une heure.

CORE SDI indique d'ailleurs que cette vulnérabilité ne constitue pas une menace directe des installations utilisant SSH mais quelle montre cependant que le protocole d'échange de clefs utilisé par SSH-version1 n'est pas sûr.

L'élément qui nous paraît le plus significatif à propos de ce problème de sécurité est cependant le faible intérêt porté par les fournisseurs de solutions SSH pour corriger cette vulnérabilité. Les solutions qui ont été proposées consistent en effet :

• soit à utiliser SSH-version2
• soit à mettre en place un mécanisme forçant l'expiration de la clef en cas d'attaque.

Il n'y a donc pas dans ces solutions de traitement du problème de fond identifié.

Il est clair de toutes façon que l'existence de SSH-version2 n'incite pas les développeurs à travailler à des solutions touchant profondément au protocole SSH-version1.

Pour plus d'informations :

Reportez vous à la rubrique "Advisories" du site www.core-sdi.com.