Contactez-nous

Contact

Poser une question en ligne Contacter nos équipes

Aide en ligne

Tutos FAQ Chatbot d'assistance
Les limites du protocole SSH
Le protocole SSH
H5235 v1 Article de référence

Les limites du protocole SSH
Le protocole SSH

Auteur(s) : Ibrahim HAJJEH, Mohamad BADRA

Relu et validé le 01 mai 2017 | Read in English

Logo Techniques de l'Ingenieur Cet article est réservé aux abonnés
Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?

Présentation

1 - Introduction et évolution du protocole SSH

2 - L’architecture et le fonctionnement de base

3 - Les fonctionnalités offertes par SSH

4 - SSH vs les autres solutions VPN

5 - Les limites du protocole SSH

  • 5.1 - La première authentification non sécurisée du client avec le serveur SSH
  • 5.2 - Les attaques sur le mot de passe
  • 5.3 - L’authentification non sûre par « hôte de confiance »
  • 5.4 - SSH et la traduction des adresses réseau (NAT)

6 - Les principales distributions de SSH

7 - L’avenir de l’exploitation du protocole SSH

8 - Conclusion

Sommaire

Présentation

RÉSUMÉ

Le protocole SSH (Secure Schell) constitue une approche puissante, pratique et sécurisé pour protéger les communications sur un réseau d’ordinateurs, notamment les opérations sensibles, la transmission de fichiers, les fonctionnalités importantes telles que le tunneling et la redirection de port. Cet article se focalise sur le protocole de la version 2, normalisée en 2006, sa phase d’initialisation et les différentes méthodes d’authentification qui y sont intégrées, ainsi que sur la solution SSH VPN. Il s’intéresse ensuite à l’actuelle utilisation du protocole SSH dans l’accès aux équipements distants, puis à son avenir.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

  • Ibrahim HAJJEH : Docteur en informatique et réseaux - Architecte « Sécurité informatique et réseaux » – Groupe ACTI

  • Mohamad BADRA : Docteur en informatique et réseaux - Chercheur à l’ENST, Paris

INTRODUCTION

Le protocole SSH (Secure Shell) est utilisé pour établir un accès sécurisé permettant d’effectuer des opérations sensibles sur des machines distantes et d’effectuer des transferts de fichiers à travers un réseau publique tout en garantissant l’authentification, la confidentialité et l’intégrité des données.

Le principal objectif de SSH était de résoudre le problème de transmission en clair de toutes les informations sur le réseau (LAN ou Internet) ouvrant la porte à toutes les attaques de type homme du milieu (Man-in-The-Middle).

Depuis l’apparition de SSH, son rôle a évolué pour ne pas se limiter à une simple fonctionnalité de connectivité à distance pour le shell. La version 2 de ce protocole, normalisée en janvier 2006, propose la sécurisation de n’importe quel protocole applicatif et ceci grâce à ses mécanismes de « port forwarding » et de « tunneling ».

Dans ce dossier, nous allons expliquer les différents services de sécurité mis en place dans SSH tout en se focalisant sur sa version 2, normalisée en 2006 à l’IETF. Nous présenterons par la suite, les sous-protocoles de SSHv2, sa phase d’initialisation et les différentes méthodes d’authentification qui y sont intégrées. Nous aborderons aussi la solution SSH VPN en la comparant à IPSec et SSL. Nous discuterons ensuite de l’avenir du protocole SSH et des nouveaux standards TLS qui influencent l’avenir de ce protocole et son actuelle utilisation dans l’accès aux équipements distants. Nous terminerons le dossier par une conclusion.

Remerciements :

Nous remercions le Pr. Maryline Maknavicius-Laurent et le Dr. Ouahiba Fouial pour l’attention qu’elles ont accordée à ce dossier, pour le temps qu’elles ont bien voulu consacrer à sa lecture et enfin, pour leurs remarques constructives et intéressantes.

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5235

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

5. Les limites du protocole SSH

SSH est capable de contourner de nombreuses menaces de sécurité liées au réseau. Cependant, il est vulnérable aux attaques par déni de service, héritant ainsi des faiblesses de TCP/IP sur lequel il repose.

Si le protocole TCP/IP résiste aux problèmes de congestion et de ruptures de liens IP, il n’a pas été cependant conçu pour résister à des attaques d’injections de faux paquets dans le réseau. SSH, lui, ne fournit aucune protection contre les attaques qui brisent l’établissement des connexions TCP. En revanche, les mécanismes de chiffrement et d’authentification dans ce protocole sont efficaces contre les attaques détournant ou altérant des données TCP/IP, car SSH les détecte, mais elles briseront également sa session. Dans ce qui suit, nous détaillons les principaux inconvénients de SSH.

5.1 La première authentification non sécurisée du client avec le serveur SSH

Puisque SSH n’utilise pas de tiers de confiance pour distribuer les clefs publiques, la première fois qu’un client SSH se connecte à une nouvelle machine distante, il effectue un travail supplémentaire en vérifiant lui-même la clef publique du serveur, soit en comparant le hachage, soit en contactant l’administrateur du serveur distant.

Une fausse acceptation de la clef publique envoyée par le serveur SSH peut laisser une personne malveillante détourner le trafic SSH en envoyant une fausse clef lors de la première connexion au serveur SSH.

Ce problème peut aussi se poser si le client utilise une clef asymétrique pour s’authentifier. En effet, le serveur doit disposer de l’ensemble des clefs publiques de ses clients. L’ensemble des clefs publiques des clients pouvant se connecter au serveur doit être envoyé préalablement au serveur. Dans le cas d’utilisation d’un serveur OpenSSH, les clefs publiques des utilisateurs sont toutes ajoutées dans le fichier ∼ /.ssh/authorized_keys du serveur.

HAUT DE PAGE

5.2 Les attaques sur le mot de passe

En encapsulant les données applicatives dans des paquets SSH, ce dernier ajoute du bourrage à chaque paquet (bourrage de taille fixe pour SSH v1, bourrage de taille variable en fonction des méthodes de chiffrement par blocs pour SSH v2) ; SSH chiffre les données et les envoie en clair dans le champ plaintextlength. Ainsi,...

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Lecture en cours
Les limites du protocole SSH

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - BARRETT (D.J.), SILVERMAN (R.E.) -   SSH le shell sécurisé  -  . Édition O’Reilly (2002).

  • (2) - STALLINGS (W.) -   Sécurité des Réseaux, Applications et standards  -  . Édition Vuibert (2002).

  • (3) - KOESNIKOV (O.), HATCH (B.) -   Construire un VPN sous IP avec Linux  -  . Édition CampusPress (2002).

  • (4) - SAARENMAA (O.), GALBRAITH (J.) -   X.509 authentification in SSH  -  . IETF Internet Draft http://www.ietf.org/internet-drafts/draft-ietf-secsh-x509-03.txt

  • (5) - ERONEN (P.), TSCHOFENIG (H.) -   Pre-Shared Key Ciphersuites for Transport Layer Security (TLS).  -  http://www.ietf.org/internet-drafts/draft-ietf-tls-psk-00.txt, work in progress (mai 2004).

  • (6) - BADRA (M.), CHERKAOUI (O.), HAJJEH (I.), SERHROUCHNL (A.) -   Pre-Shared-Key key Exchange methods for TLS  -  . IETF Internet Draft,...

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

S'inscrire à la Veille Personnalisée

Ressources documentaires

Protocoles SSL/TLS

Cet article a pour objet la sécurisation des applications de type client-serveur sur Internet. La ...

Principaux protocoles de transmission de données

Attaques des réseaux

La sécurité des réseaux informatiques est devenue un véritable fléau que personne aujourd’hui ne cherche ...

Technologies VPN SSL

Les VPN SSL sont un type très particulier de réseau privé virtuel (VPN), ils permettent d’accéder à ...

Tous les livres blancs
Toutes les actualités
Toutes les conférences en ligne