+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 234
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 234
    Points : 32 058
    Points
    32 058
    Billets dans le blog
    2

    Par défaut Raspberry Pi : une faille de sécurité dans le système d’exploitation Raspbian

    Raspberry Pi : une faille de sécurité dans le système d’exploitation Raspbian
    Permet de générer des clés SSH prévisibles

    La famille Raspberry Pi s’est récemment agrandie avec un nouveau modèle au prix officiel de 5 $. Cela pourrait bien évidemment accroître le nombre d’utilisateurs à rejoindre les millions de personnes qui ont déjà utilisé le matériel depuis 2012, comme le revendique Eben Upton, fondateur de Raspberry Pi.

    Si le nano-ordinateur enrôle de plus en plus d’utilisateurs dans le monde entier, c’est le moment de commencer à anticiper les éventuels problèmes de sécurité avant qu’il ne devienne une cible pour les attaquants.

    Une faille de sécurité a été signalée dans Raspbian, le système d'exploitation libre et gratuit fondé sur GNU/Linux/Debian et optimisé pour fonctionner sur un Raspberry Pi. La faille entraîne la génération de clés d’hôte SSH prévisibles. Les clés SSH peuvent en effet être devinées par un attaquant s’il connaît l’état dans lequel le Raspberry Pi se trouvait lors de son premier démarrage : souris connectée, câble réseau branché ou autres périphériques USB connectés, etc. Plus de détails sur la faille sont fournis sur le site de Raspberry Pi.


    En portant votre jugement sur cette faille de sécurité, il ne faut surtout pas omettre les nombreux cas d’utilisations possibles de ce matériel qui a pourtant un prix bon marché.

    Un Raspberry Pi peut en effet être utilisé comme un serveur, que ça soit pour héberger des sites web, stocker des données ou héberger un service qui doit être accessible depuis n’importe quel emplacement. Il peut également faire office de média center, offrant ainsi un système informatique venant se greffer à une télévision. Ce système pourra permettre de compléter les services basiques de la télévision, avec une interface plus conviviale, un accès internet, la possibilité de stocker et de lire de la musique, des images, des vidéos, etc. Le Raspberry Pi peut encore être utilisé dans la domotique, pour gérer différents équipements d’une maison, ou tout simplement comme un ordinateur. Dans le dernier cas, il cible en particulier les utilisateurs n’ayant pas besoin de puissance de calcul exceptionnelle.

    Pour les utilisateurs avertis, Raspberry Pi peut aussi être exploité dans le cadre des projets basés sur des systèmes embarqués. Cette variété d’utilisations possibles de Raspberry Pi peut donc augmenter l’ampleur de la gravité d’une faille de sécurité.

    Dans une discussion dédiée à la vulnérabilité sur le site de Raspberry Pi, un patch a été publié avant d’être aussitôt retiré par un modérateur. Ce dernier a exprimé un doute en ce qui concerne la fiabilité du patch. Il estime qu’une analyse est nécessaire avant de dire si le correctif est sûr ou non. Dans un autre message posté hier, l’un des contributeurs de Raspberry Pi explique que le problème n’est pas lié à Raspbian/Raspberry Pi, mais affecte toutes les distributions Linux. Il précise encore que le problème est connu par la communauté Linux et qu’il existe des mitigations. Toutefois, ces mitigations ne sont pas possibles avec Raspbian. « Chaque utilisateur doit donc évaluer la menace en fonction du cas d'utilisation de son Raspberry Pi », a-t-il ajouté. Aux utilisateurs avertis qui exigent plus de sécurité et de confidentialité, il est suggéré d’activer le RNG du matériel et de régénérer les clés SSH.

    Source : Raspberry Pi

    Et vous ?

    Utilisez-vous un Raspberry Pi ? Qu’en pensez-vous ?

    Voir aussi

    Forum Raspberry Pi
    Cdlt!
    M.K

  2. #2
    Provisoirement toléré Avatar de MikeRowSoft
    Homme Profil pro
    sans profession
    Inscrit en
    avril 2013
    Messages
    1 007
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession

    Informations forums :
    Inscription : avril 2013
    Messages : 1 007
    Points : 0
    Points
    0

    Par défaut

    Je me demande si un cookie permet de récupérer une clé de cryptage?
    En tous cas sa ressemble beaucoup à cela le contenu de cette article, une journalisation sur une amorce...

  3. #3
    Membre expérimenté
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    février 2010
    Messages
    362
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : février 2010
    Messages : 362
    Points : 1 313
    Points
    1 313

    Par défaut

    Citation Envoyé par MikeRowSoft Voir le message
    Je me demande si un cookie permet de récupérer une clé de cryptage?
    On ne parle ici ni de web (donc pourquoi un cookie?) ni de chiffrement à proprement parlé (ici la clé est utilisé pour s'authentifier).

    Les clés SSH peuvent en effet être devinées par un attaquant s’il connaît l’état dans lequel le Raspberry Pi se trouvait lors de son premier démarrage : souris connectée, câble réseau branché ou autres périphériques USB connectés, etc
    Pourquoi le RNG matériel est plus sûr que celui software? Sur quoi ce base il pour avoir un seed moins prédictible?

  4. #4
    Expert éminent Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    3 468
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : avril 2002
    Messages : 3 468
    Points : 7 993
    Points
    7 993

    Par défaut

    Parce que une RNG basé sur du matériel s'appuie sur la mesure du bruit de phénomènes physiques dont on sait que l'on ne sait pas les prévoir. Plus de détail
    Les RNG qui reposent uniquement sur du logiciel, utilisent des algorithmes. Donc si on se repose dans les même conditions de initiales, on saura les reproduire.

  5. #5
    Provisoirement toléré Avatar de MikeRowSoft
    Homme Profil pro
    sans profession
    Inscrit en
    avril 2013
    Messages
    1 007
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession

    Informations forums :
    Inscription : avril 2013
    Messages : 1 007
    Points : 0
    Points
    0

    Par défaut

    Citation Envoyé par benjani13 Voir le message
    On ne parle ici ni de web (donc pourquoi un cookie?) ni de chiffrement à proprement parlé (ici la clé est utilisé pour s'authentifier).
    Oui, ta remarque me rappel se qu'un ingénieur réseau m'a dit une fois "certificat réseau" dans le cas des réseaux d'entreprises. J'ai du confondre avec celui de HTTPS...

  6. #6
    Membre éclairé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    février 2010
    Messages
    197
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2010
    Messages : 197
    Points : 659
    Points
    659

    Par défaut

    Le problème viens du fait que la raspbian génère la clé ssh au premier boot.
    Or, les raspberry sont des plateformes TRES similaires entre elles et sans RTC.

    Il y a donc une probas pas trop faible que le RNG de plusieurs PI soit exactement dans le même état (qu'il n'y ait pas encore eu de divergence) au moment où on génère la clé.
    Après, les actions de l'utilisateur auront tôt fait de faire diverger le RNG vers un truc vraiment imprévisible.

    Cela dit, faut relativiser.... C'est la clé d'identification de machine, pas une clé root qui permet de rentrer sans mot de passe tranquille. C'est donc grave mais pas catastrophique au sens où il faut encore monter une attaque man in the middle pour sniffer le mot de passe root et pouvoir rentrer.
    A mon avis, ça arrive moins souvent que les root qui mettent un password bidon pour developper vite fait bien crade et oublient d'en mettre un vrai pour le passage en prod avec visibilité depuis le net.

Discussions similaires

  1. Réponses: 1
    Dernier message: 26/01/2015, 17h13
  2. Réponses: 2
    Dernier message: 07/01/2015, 21h13
  3. Microsoft dévoile une faille de sécurité dans Internet Explorer
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 13
    Dernier message: 06/05/2014, 17h27
  4. Réponses: 0
    Dernier message: 25/03/2014, 17h26
  5. Facebook ignorerait une faille de sécurité dans ses API
    Par Doksuri dans le forum Actualités
    Réponses: 0
    Dernier message: 07/10/2011, 17h17

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo