Donne moi un nombre aléatoire : 99999999999999

Partager

Et oui, les nombres aléatoires sont des élements essentiels de tout bon système de crypto. Il sufit que ces nombres mystérieux ne soient plus aussi imprévisibles et patatra tout tombe à l'eau. C'est justement ce qui est arrivé du coté de Linux Debian et plus spécifiquement d'OpenSSL ... Ca veut dire quoi ? Tout simplement que votre chère et très sécurisée authentification SSH via clef DSA (Quel gros mot!) ne vaut plus grand chose.... ou autrement dit, ce que vous croyez comme étant super-ultra-hypra sécurisé ne l'est plus...

Bien sur, vous faites de la veille et vous avez regénéré vos clefs SSH sur l'ensemble de votre parc... Sauf que.... le prestataire qui est en charge de maintenir le contenu d'un de vos sites web n'a pas été aussi "bon" : Le résultat ? Il s'est fait "enfoncer" quelques serveurs de son coté et que les relations de confiance SSH (cf .authorized_keys pour les techno-addicted du fond de la classe) lui ont permis de rentrer tranquillement chez vous via un simple rebond...

Qui a dit que c'était un cas réel ? Pas moi... non.... ca doit être une rumeur... Les incidents de sécurité ca n'arrive qu'aux autres.

Mais bien sur, vous avez prévu ce cas dans votre contrat... Of course, vous êtes une star du "Security System Interplanétaire". La lune est bleue durant le mois de MaiJuin  : C'est bien connu. :-]
Bonne soirée !
Jeff.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)