serveurs-web
Produits et Services PRODUITS & SERVICES

4.5 millions de serveurs web vulnérables

Texte écrit par
28 septembre 2016
Protection des données Cryptographie Sécurité

4.5 millions de serveurs web vulnérables

Les clés privées sont connues publiquement !

serveurs-webEn 2015, nous avions écrit à propos d’une enquête menée par un cabinet-conseil Européen en sécurité, appelé SEC Consult, et qui avait étudié la sécurité du chiffrement des serveurs web standards.

Les résultats étaient plutôt inquiétants : 3 200 000 serveurs web vulnérables accessibles publiquement utilisaient des clés privées qui, en fin de compte, n’étaient pas privées.

En réalité, elles étaient déjà connues publiquement, et par conséquent facilement identifiables.

Prenons le temps de comprendre pourquoi cette situation est un vrai problème.

Les algorithmes de chiffrement standards, tels qu’AES, largement utilisés et fortement recommandés, se basent sur un chiffrage symétrique.

Cet algorithme fonctionne comme la serrure de votre porte d’entrée : vous tournez dans un sens pour verrouiller, et vous tournez ensuite la même clé dans le sens inverse pour déverrouiller.

Ce type de système est simple, efficace et rapide, mais comporte 2 inconvénients majeurs :

Ainsi, dans le monde numérique actuel, le chiffrement symétrique en tant que tel, n’est pas beaucoup utilisé pour le commerce en ligne, car l’idée est en fait de gérer des commandes et des paiements concernant de nouveaux clients que vous n’avez jamais rencontrés auparavant, et que vous ne rencontrez peut être jamais plus.

C’est pourquoi les clés publiques de chiffrement, aussi appelées chiffrement asymétrique, entrent en jeu.

Inventés en Angleterre, et parallèlement aux Etats-Unis dans les années 1970, le chiffrement asymétrique se base sur 2 clés : une clé publique qui verrouille vos données, et une autre clé privée correspondante, qui permet de déverrouiller ces dernières.

Vous générez des clés publiques et privées par pair, un procédé qui est beaucoup plus lent que de réutiliser l’une ou l’autre des 2 clés ultérieurement, mais qui ne prend que quelques secondes dans notre monde moderne numérique.

Le concept mathématique derrière le chiffrement asymétrique est le suivant :

Privé veut vraiment dire privé

Lorsque le procédé fonctionne correctement, vous pouvez tout à fait rendre votre clé publique “publique”, après quoi n’importe qui dans le monde pourra communiquer avec vous de manière sécurisée, à condition que vous gardiez votre clé privée “privée”.

Cependant, si quelqu’un parvient à mettre la main sur votre clé privée, il pourra alors se faire passer pour vous de plusieurs manières différentes :

Ainsi, 9 mois après le rapport de SEC Consult, à propos des 3 200 000 serveurs web vulnérables avec des clés privées qui étaient connues publiquement, vous vous attendiez à ce que cette alerte ait été bien prise en compte.

Cependant, récemment ils se sont aperçus que le nombre de serveurs web avec des clés privées qui ne l’étaient pas avait atteint 4 500 000.

Comment des clés privées deviennent publiques ?

Une des raisons pour partager des clés privées est lorsque qu’un fournisseur vend un accès domestique à internet, tel qu’un routeur par exemple, qui possède une clé privée intégrée dans le firmware téléchargeable de ce dernier.

En d’autres termes, le fournisseur en question génère une pair de clés privée/publique, comme attendu…

…mais la partage avec chaque équipement identique qui est sur le point d’être envoyé.

Au début, personne ne se rendra compte de rien. Cependant une fois que le secret aura été divulgué, n’importe qui pourra obtenir la clé privée, potentiellement pour des milliers d’équipements à la fois, tout simplement en achetant l’équipement en question, et en récupérant la clé privée.

Ou bien, la clé pour être récupérée en téléchargeant tout simplement la dernière version du firmware du fournisseur, et en obtenant la clé à partir du fichier.

Le partage de clés privées, de cette manière, n’a absolument aucun sens (dans le cas contraire elles ne s’appelleraient pas clés “privées”).

Chaque équipement a besoin de sa propre clé privée, idéalement une clé qui est générée en même temps que la clé publique correspondante, et au moment de la mise en service de l’équipement.

De cette manière, la clé privée n’existera même pas avant que l’équipement ait été installé et soit prêt à l’emploi.

Quoi faire ?

Nous avons tous besoin de nous améliorer, et ce collectivement, ainsi nous répétons les conseils déjà donné la dernière fois :

Si vous créez des firmwares intégrés à des équipements :

Si vous utilisez des équipements intégrés :



//platform.twitter.com/widgets.js
Partagez 4.5 millions de serveurs web avec des clés privées commues publiquement ! : http://wp.me/p2YJS1-2VG
Billet inspiré de 4.5 million web servers have private keys that are publicly known!, par Paul Ducklin, Sophos NakedSecurity.

Sophos
À propos de l’auteur

Lire des articles similaires

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *