Portail officiel de la sécurité informatique - ANSSI - République française

• Je suis...
  • Particulier
  • Entreprise
  •  
• Je cherche...
  • Autoformation
  • Fiche technique
  • Guide de configuration
  • Mémento
  • Question/Réponse
  • Une solution pour me protéger
  • Passeport de conseils aux voyageurs
  • Lien
  •  
• Actualités
  • Alertes
  • Faits marquants
  • Technique
  •  

Actualités  >  Technique

Défaut du générateur aléatoire de Debian

Une modification malencontreuse du générateur aléatoire de la bibliothèque OpenSSL distribuée par Linux Debian a rendu faibles les clés cryptographiques générées en l’utilisant. Et les conséquences sont nombreuses, y compris pour des utilisateurs qui ne savent même pas ce qu’est Linux.

Les faits

Le 13 mai 2008, une vulnérabilité dans la bibliothèque OpenSSL distribué par Debian était publiée par les auteurs du projet. L’origine de cette vulnérabilité est la suppression, par les développeurs de Debian, d’une partie du code qui produisait des avertissements lors de la compilation.

Cette suppression de code a pour conséquence de ne plus intégrer d’éléments aléatoires lors de la génération des clés, ce qui limite le nombre des possibilités à une valeur très faible. Les clés générées par les systèmes implantant cette version défectueuse peuvent donc être devinées de façon triviale ; en fait elles ont d’ores et déjà été devinées, leur liste est disponible sur internet et tester l’ensemble des clés possibles ne prend que quelques heures.

Ce défaut est présent sur tous les systèmes Linux Debian depuis le 17 septembre 2006 [1]. Un correctif est disponible depuis le 13 mai 2008 [2]. Il est également hérité par les systèmes d’exploitation qui reprennent la librairie OpenSSL de Debian. C’est le cas en particulier des distributions Ubuntu. D’autres produits, qui peuvent utiliser le système Linux Debian de façon embarquée, pourraient s’avérer impactés, sans qu’il soit possible de les identifier facilement.

Les conséquences directes

Les éléments directement affectés par le défaut ci-dessus sont les clés ou les secrets générés par le générateur d’aléa d’OpenSSL d’une distribution Debian postérieure à septembre 2006. En particulier, les clés suivantes sont concernées (liste non exhaustive) :
 les clés SSH ,
 les clés d’OpenVPN,
 les clés DNSSEC,
 les clés et les aléas des certificats X509,
 les clés de session dans SSL/TLS,
 les clés des sessions de connexion sans fil WPA-Enterprise,
 ...

Si un utilisateur utilise une clé faible pour s’authentifier à un serveur, il devient très facile de s’authentifier à sa place et d’accéder à son compte. Si un serveur utilise une clé faible, un attaquant peut monter un serveur pirate et recevoir les connexions des utilisateurs à la place du serveur légitime.

Les sessions SSL chiffrées avec une clé faible peuvent être facilement déchiffrées. Toute communication passée qui a été enregistrée, dont la clé a été générée sur un serveur vulnérable, peut être déchiffrée a posteriori.

Si une infrastructure de gestion de clés a généré ses clés à l’aide d’une distribution impactée, ce sont l’ensemble des clés générées qui sont faibles.

Conséquences indirectes

Le défaut observé est particulièrement dangereux car même des systèmes autres que Debian peuvent être impactés.

Un serveur ne doit pas accepter de clé ou de certificat sans tester son appartenance au groupe des clés faibles. De plus, toutes les clés d’utilisateurs déjà présentes sur le système doivent être vérifiées.

Toute signature de type DSA réalisée sur un système Debian ou apparenté comportant la vulnérabilité a compromis la clé de signature. En effet, pour une signature DSA, le même si la clé d’origine n’était pas faible, elle a été compromise au moment de la signature par l’utilisation d’un mauvais aléa.

Recommandations

Si vous utilisez Linux dans l’une des distributions concernées, outre la mise à jour immédiate de votre système, la vulnérabilité découverte implique également le renouvellement de toutes les clés cryptographiques de votre système. Il est également fortement souhaitable de renouveler ensuite les mots de passe de connexion que vous auriez pu utiliser à travers une session "sécurisée" SSL, par exemple sur votre serveur de banque en ligne.

Si vous n’utilisez pas l’un des systèmes concernés, vous pouvez être impacté de façon indirecte :

1. Si vous avez acheté une clé auprès d’un fournisseur, ce dernier peut avoir utilisé une distribution vulnérable pour générer votre clé. Le risque est cependant faible, car la plupart des fournisseurs utilisent des matériels cryptographiques dédiés appelés HSM (hardware security module) et qui ne sont pas vulnérables.
2. Si vous avez utilisé un accès distant sécurisé par un serveur Debian, vos identifiants de connexion peuvent être compromis. Le responsable du site en question va donc vraisemblablement, après mise à jour, vous demander de changer vos identifiants. Ceci peut également concerner les accès WiFi.
3. Si vous êtes administrateur ou responsable d’un serveur d’accès distant sécurisé, il est très fortement recommandé de mettre en place des dispositifs de détection des clés faibles pour éviter qu’un client utilisateur de Debian compromette ses identifiants d’accès.

   Conclusion

   La vulnérabilité du générateur d’aléa de Debian peut avoir un impact qui dépasse les seuls utilisateurs de ce système d’exploitation. Cette vulnérabilité étant en place depuis septembre 2006, un grand nombre de clés sont potentiellement concernées. L’application des patchs de sécurité n’est pas suffisant. Le renouvellement des clés doit être effectué avec le plus grand soin pour éviter une nouvelle compromission via des serveurs encore non mis à jour.

Les techniciens trouveront le détail des mesures à prendre en consultant le bulletin d’actualité du CERTA du 16 mai 2008

Références

1. Wiki Debian
2. Debian Security Advisory. DSA-1571-1 openssl – predictable random number generator

 Imprimer cet article