- Actualités
- >cybersécurité
Des experts découvrent une méthode efficace d’extraction des clés RSA privées de connexions SSH
- par Kenan
- , Publié le 27 novembre 2023
- , à18 h 01 min
Une nouvelle étude a démontré qu’il est possible pour des attaquants de réseau passifs d’obtenir des clés d’hôte RSA privées à partir d’un serveur SSH vulnérable en observant les erreurs de calcul naturelles qui se produisent lors de l’établissement de la connexion.
Le protocole Secure Shell (SSH) est une méthode permettant de transmettre des commandes et de se connecter à un ordinateur en toute sécurité sur un réseau non sécurisé. Basé sur une architecture client-serveur, SSH utilise la cryptographie pour authentifier et chiffrer les connexions entre les appareils.
Une clé d’hôte est une clé cryptographique utilisée pour authentifier les ordinateurs dans le protocole SSH. Les clés d’hôte sont des paires de clés qui sont généralement générées à l’aide de systèmes cryptographiques à clé publique tels que RSA.
« Si une implémentation de signature utilisant CRT-RSA présente une faille lors du calcul de la signature, un attaquant qui observe cette signature peut être en mesure de calculer la clé privée du signataire », a déclaré un groupe d’universitaires de l’université de Californie à San Diego et du Massachusetts Institute of Technology dans un article publié ce mois-ci.
En d’autres termes, un adversaire passif peut tranquillement suivre les connexions légitimes sans risquer d’être détecté jusqu’à ce qu’il observe une signature défectueuse qui expose la clé privée. Le mauvais acteur peut alors se faire passer pour l’hôte compromis afin d’intercepter des données sensibles et de lancer des attaques de type « adversaire au milieu » (AitM).
Les chercheurs ont décrit la méthode comme une attaque par défaut de récupération de clé basée sur un treillis, qui leur a permis de récupérer les clés privées correspondant à 189 clés publiques RSA uniques qui ont ensuite été tracées jusqu’à des appareils de quatre fabricants : Cisco, Hillstone Networks, Mocana et Zyxel.
À noter que la sortie de la version 1.3 de TLS en 2018 agit comme une contre-mesure en chiffrant la poignée de main qui établit la connexion, empêchant ainsi les oreilles indiscrètes passives d’accéder aux signatures.
« Ces attaques fournissent une illustration concrète de la valeur de plusieurs principes de conception en cryptographie : chiffrer les handshakes du protocole dès qu’une clé de session est négociée pour protéger les métadonnées, lier l’authentification à une session et séparer l’authentification des clés de chiffrement », expliquent les chercheurs.
Ces conclusions interviennent deux mois après la divulgation de l’attaque Marvin, une variante de l’attaque ROBOT (abréviation de « Return Of Bleichenbacher’s Oracle Threat ») qui permet à un acteur de la menace de décrypter des cryptogrammes RSA et de falsifier des signatures en exploitant les faiblesses de sécurité de la norme PKCS #1 v1.5.