Administrateurs méfiez-vous ! Alors que vous vous êtes en train de vous identifier sur un de vos serveurs distants dans le cadre d’une session SSH* (Secure Shell), un pirate indélicat est peut-être à l’écoute… Surtout s’il a eu vent de la nouvelle technique mise au point par des étudiants de l’université de Berkeley*. Celle-ci vise en effet à déterminer le mot de passe que vous saisissez par simple analyse statistique du délai séparant la frappe de chacun des caractères qui le composent (la saisie d’un E suivie d’un R étant plus rapprochée que la saisie d’un W suivie d’un P par exemple). Selon ces étudiants, l’analyse de ce délai réduirait d’un facteur 50 le nombre de lettres pouvant composer le mot de passe et d’autant, la difficulté de le retrouver de façon empirique. En cause : le mode interactif du protocole qui prévoit, selon les auteurs de l’étude, le transfert vers le serveur de chaque caractère dans un paquet IP isolé et ce dès sa frappe. De même, chaque paquet transmis, limité à une taille de huit octets, permettrait de déduire assez facilement la taille du mot de passe original. Bien que le finlandais SSH Communications Security ait immédiatement contesté ces affirmations, cette nouvelle fait grand bruit. Un bon conseil : saisissez désormais les lettres de votre mot de passe à intervalle régulier… On ne sait jamais !
*
Pour plus d’informations, visitez le site de luniversité de Berkeley : www.paris.cs.berkeley.edu/~dawnsong/ssh-timing.html et celui de SSH : www.ssh.com/products/ssh/timing_analysis.cfm.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
