Vous l’avez peut-être déjà lu, mais une faille de sécurité assez critique affecte OpenSSL dans les distributions Debian et dérivés (Ubuntu par exemple). OpenSSL est utilisé pour les connexions « sécurisées » en SSH et les certificats SSL des sites web. Ce sont les applications les plus connues, mais d’autres utilisent également OpenSSL, comme OpenVPN, IMAPS, POPS…
dessin en licence CC by nc du site Xkcd
Le problème, propre à la version inclue dans Debian, est que le générateur de nombre aléatoire utilisé pour générer la clé, n’est pas vraiment aléatoire… Pas aléatoire veut dire prédictible, c’est à dire qu’on peut trouver votre clé et entrer en SSH dans votre serveur ou se faire passer pour vous en générant un faux certificat SSL, etc…
Je ne vais pas tout réexpliquer en détail. Les articles suivants vous en disent un peu plus :
- http://linuxfr.org/2008/05/15/24092.html
- http://roland.entierement.nu/blog/2008/05/15/branle-bas-sshssl.html
La première chose à faire est de mettre à jour sa distribution. Ainsi les modules corrigés seront installés :
aptitude update
aptitude dist-upgrade
Mais ce n’est PAS suffisant !
Les clés faibles (càd facilement crackables) sont encore utilisées sur votre machine.
Il est nécessaire de recréer ces clés !
La procédure varie suivant le programme en cause.
Je reviens sur cette regénération des clés dans mon prochain billet.
