
Les testeurs qui utiliseront cette nouvelle version pourront découvrir de nouvelles améliorations de plusieurs ordres. Au niveau de la sécurité par exemple, des mesures d’atténuation des faiblesses du protocole scp ont été introduites dans cette nouvelle version d'OpenSSH. Dans la pratique, la copie des noms de fichiers avec scp sera plus sécurisée dans OpenSSH 8.0, car la copie des noms de fichiers d’un répertoire distant à un répertoire local invitera scp à vérifier si les fichiers envoyés par le serveur correspondent à la demande émise. Si ce mécanisme n'était pas mis en place, un serveur d’attaque serait théoriquement capable d’intercepter la demande en servant des fichiers malveillants à la place de ceux demandés à l’origine. Toutefois, en dépit de ces mesures d’atténuation, OpenSSH déconseille l’usage du protocole scp, car il est « est obsolète, inflexible et difficile à résoudre ». « Nous recommandons plutôt l’utilisation de protocoles plus modernes tels que sftp et rsync pour le transfert de fichiers », Miller a tenu à mettre en garde.
Dans le lot des nouveautés, cette version inclut un certain nombre de modifications pouvant affecter les configurations existantes :
- Au niveau du protocole scp : vu que ce protocole s’appuie sur un shell distant pour l’extension du caractère générique, il n’y a donc aucun moyen infaillible pour que la correspondance du caractère générique du client reflète parfaitement celle du serveur. S’il existe une différence entre l’extension générique client et serveur, le client peut refuser les fichiers du serveur. Pour cette raison, l’équipe de OpenSSH a fourni à scp un nouvel indicateur « -T » qui désactive les vérifications côté client au risque de réintroduire l’attaque décrite ci-dessus.
- Au niveau du daemon sshd : l’équipe d'OpenSSH a procédé à la suppression du support de la syntaxe obsolète « hôte / port ». Un hôte/port séparé par une barre oblique a été ajouté en 2001 à la place de la syntaxe « hôte : port » au profit des utilisateurs IPv6. De nos jours, la syntaxe avec la barre oblique est facilement confondue avec la notation CIDR, qu'OpenSSH prend également en charge. Il est donc conseillé de supprimer la notation de barre oblique de ListenAddress et PermitOpen
À côté de ces changements, nous avons de nouvelles fonctionnalités ajoutées à OpenSSH 8.0. Ce sont notamment :
- Une méthode expérimentale d’échange de clés post-quantique qui a fait son apparition dans cette version.
Cette fonctionnalité a pour objectif de résoudre les problèmes de sécurité qui pourraient survenir lors de la distribution de clés entre des parties, vu les menaces qui pèsent avec les avancées technologiques comme l’augmentation de la puissance de calcul des machines, les nouveaux algorithmes d’attaque ou encore les ordinateurs quantiques. Pour se faire, cette méthode se base sur la solution de distribution de clé quantique (abrégée QKD en anglais). Cette solution utilise des propriétés quantiques pour échanger des informations secrètes, telles qu’une clé cryptographique. En principe, le fait de mesurer un système quantique perturbe le système. Aussi, si un pirate tentait d’intercepter une clé cryptographique émise à travers une implémentation QKD, il laisserait inévitablement des traces détectables. Pour OepnSSH, cette nouvelle fonctionnalité marque un grand tournant dans la sécurisation de l’outil ;
- la taille par défaut de la clé RSA qui a été revue à la hausse en passant à 3072 bits ;
- l’ajout de la prise en charge des clés ECDSA dans les jetons PKCS ;
- l’autorisation de « PKCS11Provide = none » à remplacer des instances ultérieures de la directive PKCS11Provide dans ssh_config ;
- l’ajout d’un message de journal pour les situations dans lesquelles une connexion est interrompue après avoir tenté d’exécuter une commande alors qu’une restriction sshd_config ForceCommand = internal-sftp est en vigueur.
Pour plus de détails, une liste complète des autres ajouts et correctifs de bogues est disponible sur la page officielle.
Source : Liste de diffusion OpenSSH
Et vous ?


Voir aussi




