À propos de ce blog

Thèmes Populaires

Mise en garde d’un chercheur F-Secure après la découverte de vulnérabilités relatives au protocole SCP

Guillaume Ortega

16.01.19 4 min de lecture

Une nouvelle recherche révèle la présence de plusieurs vulnérabilités sur différents clients SCP : le protocole de copie sécurisée (SCP) – jusque-là considérée comme sûr – pourrait donc ne pas être à la hauteur de sa réputation. Des hackers pourraient en effet exploiter ces vulnérabilités pour installer une back door ou un autre logiciel malveillant sur un réseau professionnel. Ils pourraient ensuite voler des informations confidentielles ou procéder à tout un éventail d’opérations post-intrusion.

L’étude, menée par Harry Sintonen, Senior Security Consultant chez F-Secure, a identifié des vulnérabilités sur WinSCP, Putty PSCP et OpenSSH. Harry a créé une attaque pouvant être utilisée afin d’écrire/écraser furtivement des fichiers dans le répertoire-cible SCP du client, de modifier les permissions du répertoire et d’usurper les résultats du client.

Les vulnérabilités ne constituent pas le problème n°1 des administrateurs informatiques (un accès man-in-the-middle doit être établi avant de mener ce genre d’attaque) mais une telle découverte montre que la partie « sécurisée » du protocole SCP pourrait être moins sûre que ce que les entreprises pensaient. Le public est trop peu conscient de l’existence de ce type de vulnérabilités et les opérations des hackers tirent profit de cette ignorance.

« “Sécurisé” ne signifie pas “invulnérable”. Lors d’une première connexion SCP, il appartient aux utilisateurs de vérifier manuellement l’identité de l’hôte. En cas d’erreur humaine, un pirate – s’il utilise les vulnérabilités SCP – peut écraser facilement des fichiers dans le répertoire cible », explique Harry. « Si un hacker parvient à s’interposer entre le client SCP et le serveur – ou s’il parvient à tromper le client pour qu’il se connecte à un serveur malveillant par hameçonnage, usurpation DNS ou autre -, il peut alors exécuter sans difficulté des commandes malveillantes, sans que le client le sache. »

SCP a été créé au milieu des années 90 afin de permettre le transfert de fichiers entre des appareils et un réseau. Il ajoute Secure Shell (SSH) au protocole RCP de copie à distance (le protocole sur lequel est basé SCP). SCP offre donc un niveau de sécurité supplémentaire comparé à FTP et RCP.

Voilà pourquoi ce protocole est qualifié de « sécurisé ».

Bien que l’intégration de Secure Shell rende le protocole SCP plus sûr que son prédécesseur RCP, certaines lacunes persistent. À l’instar de RCP, SCP n’avertit par l’utilisateur avant d’écraser un fichier.

Harry explique que la sécurisation du protocole est suffisante pour éviter des attaques massives. Cela étant, même si ces vulnérabilités ne se prêtent pas à des attaques opportunistes, elles pourraient être exploitées pour des attaques ciblées tirant profit du manque de sensibilisation des utilisateurs.

« L’attaque ne fonctionne que si la victime accepte les empreintes digitales d’un mauvais appareil », explique Harry. « Malheureusement, personne ne vérifie vraiment ces empreintes. Des pirates peuvent donc utiliser efficacement ce genre de tactique. Il est donc important que les entreprises sachent que les clients SCP ne gèrent pas cela automatiquement ».

Harry a réalisé une démonstration de son attaque lors de la conférence Disobey (« Désobéir ») de cette année à Helsinki, où il présentait les résultats de ses recherches sur le thème :

Les logiciels libres sont-ils suffisamment sûrs pour les organisations ?

Harry a mené cette recherche afin de démontrer comment des hackers peuvent mener leur attaque en s’appuyant sur des composants open source. Les logiciels libres et open source constituent l’épine dorsale de nombreuses applications populaires. Traditionnellement, les développeurs comptent les uns sur les autres pour valider le code open source : cette méthode s’avère souvent efficace, notamment lorsque le code est répandu et donc révisé de nombreuses fois.

Toutefois, en pratique, les choses peuvent s’avérer plus délicates. Le bug de Heartbleed, en 2014, a suscité la création, par la Commission européenne, du programme FOSSA (Audit des logiciels libres et open source). L’objectif de ce projet est de documenter et d’aider à sécuriser les logiciels libres largement utilisés en Europe. Récemment, FOSSA a été renforcé afin d’offrir des primes de bug sur 15 projets de logiciels open source.

Malheureusement, SCP et de nombreux autres logiciels ne bénéficient pas de bug bounties. Mais Harry se veut rassurant : il n’y a, d’après lui, aucune raison de paniquer.

« Les entreprises peuvent bien entendu continuer à opter pour des programmes open source. Elles doivent simplement faire preuve d’une certaine prudence. Il leur faut vérifier le code source, vérifier si le logiciel en question a des antécédents de vulnérabilités critiques et établir des processus internes proactifs dans la surveillance et la gestion de la sécurité du logiciel », explique Harry. « Le protocole SCP n’a jusque-là engendré aucun piratage mais d’autres logiciels open source ont pu poser problème et les entreprises doivent garder cela à l’esprit. »

En plus de sensibiliser leurs utilisateurs, Harry recommande aux entreprises de se tourner, dans la mesure du possible, vers le protocole SFTP. Des correctifs sont disponibles pour les entreprises qui ont des problèmes liés au protocole SCP, y compris un correctif OpenSSH développé par Harry.

Pour plus d’informations sur ces correctifs et vulnérabilités, vous pouvez lire les recommandations de Harry.

Guillaume Ortega

16.01.19 4 min de lecture

Catégories

Leave a comment

Oops! There was an error posting your comment. Please try again.

Thanks for participating! Your comment will appear once it's approved.

Posting comment...

Your email address will not be published. Required fields are marked *

Publications connexes

Newsletter modal

Merci de votre intérêt pour F-Secure. Vous recevrez bientôt un email pour confirmer votre abonnement à la newsletter.

Gated Content modal

Félicitations – Vous pouvez maintenant accéder à votre contenu en cliquant sur le bouton ci-dessous.