Edition du 22/05/2008 - par Charles Savary avec IDG News Service

Un spécialiste de la sécurité du Debian Project vient de révéler qu'une vulnérabilité récemment découverte dans les distributions Linux les plus répandues permettrait à des hackers de créer de fausses clés de chiffrement, de contrefaire des signatures électroniques et de mettre la main sur des informations confidentielles.

Beaucoup de travail avant d'identifier les clés contrefaites
HD Moore, qui a créé le Projet Metasploit, une plate-forme open source de développement et de tests de méthodes de piratage, a qualifié cette vulnérabilité d'« horrible ». Selon lui, les administrateurs systèmes vont avoir beaucoup de travail pour repérer les clés contrefaites et les corriger. Le bogue se trouve dans le générateur de nombres aléatoires utilisé pour créer des clés numériques dont celles de SSH (Secure Shell) et de SSL (Socket Secure Layer), qui sécurisent le trafic sur Internet entre l'internaute et le site Web.

Des clés de 1024 et 2048 bits en deux heures
Selon HD Moore, il est relativement aisé de « deviner » la clé. Dans son blog, il a affirmé qu'il était capable de générer des clés de 1024 et de 2048 bits en deux heures. Une clé de 8192 bits nécessiterait 129 jours. Par ailleurs, il a publié plusieurs outils de génération de clés, surnommés ...

Page suivante (2/2) >