Un audit des clés SSH de GitHub a mis en évidence la vulnérabilité d’un grand nombre d’entre elles à un ancien bogue Debian

Un audit de clés SSH, liées à plus d’un million de comptes utilisateur GitHub, a indiqué que les clés de nombreux utilisateurs sont faibles et peuvent être aisément factorisées. Il ressort également qu’un nombre encore plus important d’utilisateurs utilise des clés vulnérables à un bogue Debian OpenSSL découvert il y a sept ans.

Les clés SSH ouvertes que les utilisateurs associent à leur compte sur GitHub sont visibles par les autres utilisateurs, ce qui leur permet de s’échanger les clés. Au mois de décembre de l’année dernière, le chercheur Ben Cox a décidé de récolter le maximum de clés et de voir ce qu’il pouvait découvrir à leur sujet. Il débuta son projet le 27 décembre et au 9 janvier, il avait déjà récolté plus de 1,3 millions de clés SSH.

« J’avais voulu réaliser cette expérience en 2013, mais j’avais découvert qu’il y avait très peu d’utilisateurs de SSH sur GitHub et que par conséquent, ces personnes ne possédaient pas de clés. Toutefois, au cours de cette tentative (à l’aide d’une nouvelle application qui utilisait les événements API), j’ai découvert que la majorité des utilisateurs activés possédait des clés SSH » écrit Ben Cox dans un communiqué qui décrit son projet.

Après avoir récolté les clés, Ben Cox a commencé à les analyser. Il a vérifié entre autre la fiabilité de chiffrement des clés et il a découvert ainsi sept clés de 512 bits seulement et deux autres de 256 bits. Ces clés sont tellement courtes qu’il est possible de les factoriser sur la majorité des ordinateurs modernes.

« Il est bien connu que les clés de 512 bits peuvent être factorisées en moins de trois jours. L’exemple le plus connu est la clé du micrologiciel des calculatrices Texas Instruments qui avait été crackée, ce qui avait permis aux adeptes du tuning de charger n’importe quel micrologiciel. J’ai moi-même tenté de créer une clé de 256 bits et de la factoriser. Le processus, depuis l’obtention de la clé jusqu’à l’obtention de ses nombres premiers (sur un processeur faible par rapport aux normes d’aujourd’hui) a duré 25 minutes. Il faut compter quelques minutes en plus pour sa transformation en clé SSH qui m’a permis d’accéder au système. Ce risque n’existe pas seulement si un individu loue les services de mathématiciens ou de super-ordinateurs puissants. J’ai été en mesure de factoriser une clé de 256 bits sur un i5-2400 en 25 minutes » raconte Ben Cox.

Mais ce n’est pas tout. Ben Cox a également découvert ce qu’il désigne comme un « nombre très élevé » de clés SSH vulnérables à un bogue de Debian OpenSSL connu depuis 2008. Cette vulnérabilité figurait dans certaines versions de Debian : le générateur de numéros aléatoires utilisé par OpenSSL était prévisible. Ce qui signifiait qu’il était possible de deviner les clés de chiffrement produites par les versions vulnérables. Ce bogue concerne, entre autres, les clés SSH, VPN et DNSSEC.

Ben Cox a comparé la liste des clés obtenues sur GitHub à une liste de clés vulnérables au bogue Debian et il s’est rendu compte que certains comptes utilisateur qui ont accès à de grands référentiels importants sur GitHub utilisent des clés vulnérables. Parmi ces référentiels, citons le moteur de recherche russe Yandex, Spotify, les bibliothèques de chiffrement pour Python et le noyau Python.
Ben Cox a signalé le problème à GitHub au début du mois de mars et les clés vulnérables ont été révoquées le 5 mai. D’autres clés faibles et de qualité médiocres découvertes lors de son analyse ont été désactivées quant à elles le 1 juin.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *