Infos

Un audit des clés SSH de GitHub a mis en évidence la vulnérabilité d’un grand nombre d’entre elles à un ancien bogue Debian

Un audit de clés SSH, liées à plus d’un million de comptes utilisateur GitHub, a indiqué que les clés de nombreux utilisateurs sont faibles et peuvent être aisément factorisées. Il ressort également qu’un nombre encore plus important d’utilisateurs utilise des clés vulnérables à un bogue Debian OpenSSL découvert il y a sept ans.

Les clés SSH ouvertes que les utilisateurs associent à leur compte sur GitHub sont visibles par les autres utilisateurs, ce qui leur permet de s’échanger les clés. Au mois de décembre de l’année dernière, le chercheur Ben Cox a décidé de récolter le maximum de clés et de voir ce qu’il pouvait découvrir à leur sujet. Il débuta son projet le 27 décembre et au 9 janvier, il avait déjà récolté plus de 1,3 millions de clés SSH.

« J’avais voulu réaliser cette expérience en 2013, mais j’avais découvert qu’il y avait très peu d’utilisateurs de SSH sur GitHub et que par conséquent, ces personnes ne possédaient pas de clés. Toutefois, au cours de cette tentative (à l’aide d’une nouvelle application qui utilisait les événements API), j’ai découvert que la majorité des utilisateurs activés possédait des clés SSH » écrit Ben Cox dans un communiqué qui décrit son projet.

Après avoir récolté les clés, Ben Cox a commencé à les analyser. Il a vérifié entre autre la fiabilité de chiffrement des clés et il a découvert ainsi sept clés de 512 bits seulement et deux autres de 256 bits. Ces clés sont tellement courtes qu’il est possible de les factoriser sur la majorité des ordinateurs modernes.

« Il est bien connu que les clés de 512 bits peuvent être factorisées en moins de trois jours. L’exemple le plus connu est la clé du micrologiciel des calculatrices Texas Instruments qui avait été crackée, ce qui avait permis aux adeptes du tuning de charger n’importe quel micrologiciel. J’ai moi-même tenté de créer une clé de 256 bits et de la factoriser. Le processus, depuis l’obtention de la clé jusqu’à l’obtention de ses nombres premiers (sur un processeur faible par rapport aux normes d’aujourd’hui) a duré 25 minutes. Il faut compter quelques minutes en plus pour sa transformation en clé SSH qui m’a permis d’accéder au système. Ce risque n’existe pas seulement si un individu loue les services de mathématiciens ou de super-ordinateurs puissants. J’ai été en mesure de factoriser une clé de 256 bits sur un i5-2400 en 25 minutes » raconte Ben Cox.

Mais ce n’est pas tout. Ben Cox a également découvert ce qu’il désigne comme un « nombre très élevé » de clés SSH vulnérables à un bogue de Debian OpenSSL connu depuis 2008. Cette vulnérabilité figurait dans certaines versions de Debian : le générateur de numéros aléatoires utilisé par OpenSSL était prévisible. Ce qui signifiait qu’il était possible de deviner les clés de chiffrement produites par les versions vulnérables. Ce bogue concerne, entre autres, les clés SSH, VPN et DNSSEC.

Ben Cox a comparé la liste des clés obtenues sur GitHub à une liste de clés vulnérables au bogue Debian et il s’est rendu compte que certains comptes utilisateur qui ont accès à de grands référentiels importants sur GitHub utilisent des clés vulnérables. Parmi ces référentiels, citons le moteur de recherche russe Yandex, Spotify, les bibliothèques de chiffrement pour Python et le noyau Python.
Ben Cox a signalé le problème à GitHub au début du mois de mars et les clés vulnérables ont été révoquées le 5 mai. D’autres clés faibles et de qualité médiocres découvertes lors de son analyse ont été désactivées quant à elles le 1 juin.

Source: Threatpost

Un audit des clés SSH de GitHub a mis en évidence la vulnérabilité d’un grand nombre d’entre elles à un ancien bogue Debian

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception