Les mainteneurs d'OpenSSH viennent d’annoncer que la version 8.0 de l’outil de sécurité pour la connexion à distance avec le protocole SSH est presque prêt à être publié. Étant donné qu’avec suffisamment d’yeux, tous les bogues sont superficiels, Damien Miller, l’un des principaux mainteneurs du projet, vient de faire un appel à la communauté des utilisateurs de cet outil afin qu’ils puissent le tester sur autant de plateformes et systèmes possibles pour en déceler les bogues éventuels.Les testeurs qui utiliseront cette nouvelle version pourront découvrir de nouvelles améliorations de plusieurs ordres. Au niveau de la sécurité par exemple, des mesures d’atténuation des faiblesses du protocole scp ont été introduites dans cette nouvelle version d'OpenSSH. Dans la pratique, la copie des noms de fichiers avec scp sera plus sécurisée dans OpenSSH 8.0, car la copie des noms de fichiers d’un répertoire distant à un répertoire local invitera scp à vérifier si les fichiers envoyés par le serveur correspondent à la demande émise. Si ce mécanisme n'était pas mis en place, un serveur d’attaque serait théoriquement capable d’intercepter la demande en servant des fichiers malveillants à la place de ceux demandés à l’origine. Toutefois, en dépit de ces mesures d’atténuation, OpenSSH déconseille l’usage du protocole scp, car il est « ;est obsolète, inflexible et difficile à résoudre ;». « ;Nous recommandons plutôt l’utilisation de protocoles plus modernes tels que sftp et rsync pour le transfert de fichiers ;», Miller a tenu à mettre en garde.
Dans le lot des nouveautés, cette version inclut un certain nombre de modifications pouvant affecter les configurations existantes :
- Au niveau du protocole scp : vu que ce protocole s’appuie sur un shell distant pour l’extension du caractère générique, il n’y a donc aucun moyen infaillible pour que la correspondance du caractère générique du client reflète parfaitement celle du serveur. S’il existe une différence entre l’extension générique client et serveur, le client peut refuser les fichiers du serveur. Pour cette raison, l’équipe de OpenSSH a fourni à scp un nouvel indicateur « ;-T ;» qui désactive les vérifications côté client au risque de réintroduire l’attaque décrite ci-dessus.
- Au niveau du daemon sshd : l’équipe d'OpenSSH a procédé à la suppression du support de la syntaxe obsolète « ;hôte / port ;». Un hôte/port séparé par une barre oblique a été ajouté en 2001 à la place de la syntaxe « ;hôte : port ;» au profit des utilisateurs IPv6. De nos jours, la syntaxe avec la barre oblique est facilement confondue avec la notation CIDR, qu'OpenSSH prend également en charge. Il est donc conseillé de supprimer la notation de barre oblique de ListenAddress et PermitOpen
À côté de ces changements, nous avons de nouvelles fonctionnalités ajoutées à OpenSSH 8.0. Ce sont notamment :
- Une méthode expérimentale d’échange de clés post-quantique qui a fait son apparition dans cette version.
Cette fonctionnalité a pour objectif de résoudre les problèmes de sécurité qui pourraient survenir lors de la distribution de clés entre des parties, vu les menaces qui pèsent avec les avancées technologiques comme l’augmentation de la puissance de calcul des machines, les nouveaux algorithmes d’attaque ou encore les ordinateurs quantiques. Pour se faire, cette méthode se base sur la solution de distribution de clé quantique (abrégée QKD en anglais). Cette solution utilise des propriétés quantiques pour échanger des informations secrètes, telles qu’une clé cryptographique. En principe, le fait de mesurer un système quantique perturbe le système. Aussi, si un pirate tentait d’intercepter une clé cryptographique émise à travers une implémentation QKD, il laisserait inévitablement des traces détectables. Pour OepnSSH, cette nouvelle fonctionnalité marque un grand tournant dans la sécurisation de l’outil ;;
- la taille par défaut de la clé RSA qui a été revue à la hausse en passant à 3072 bits ;;
- l’ajout de la prise en charge des clés ECDSA dans les jetons PKCS ;;
- l’autorisation de « ;PKCS11Provide = none ;» à remplacer des instances ultérieures de la directive PKCS11Provide dans ssh_config ;;
- l’ajout d’un message de journal pour les situations dans lesquelles une connexion est interrompue après avoir tenté d’exécuter une commande alors qu’une restriction sshd_config ForceCommand = internal-sftp est en vigueur.
Pour plus de détails, une liste complète des autres ajouts et correctifs de bogues est disponible sur la page officielle.
Source : Liste de diffusion OpenSSH
Et vous ?
Avez-vous testé cette version 8.0 de OpenSSH ;? Quels commentaires en faites-vous ;? Quelles sont les fonctionnalités que vous trouvez intéressantes ou peu intéressantes ;?Voir aussi
Windows Server 2019 : le client et le serveur OpenSSH sont désormais pris en charge apportant ainsi plus d’outils dans l’administration des serveurs Microsoft ajoute le support d’un client OpenSSH dans Windows 10 accessible directement depuis la ligne de commande Le client OpenSSH sort de sa phase de bêta sous la Redstone 4 de Windows 10 et est installé par défaut Une faille OpenSSH rend les serveurs vulnérables aux attaques par force brute après une modification du nombre d’essais pour une authentification L’équipe PowerShell de Microsoft rejoint la communauté OpenSSH pour apporter le protocole SSH à l’interopérabilité Windows - Linux