Pour l’heure, on ne sait pas exactement combien de serveurs ont été affectés par ce bug. Du côté de Secure Shell comme de GitHub, on assure que la faille n’aurait touché qu’une poignée de serveurs. La stupéfaction du grand public vient plutôt du fait que cette défaillance existe depuis 2014, l’année de lancement de la version 0.6 de l’implémentation.
Pour faire simple, des brèches pouvaient être utilisées pour prendre le contrôle de serveurs vulnérables simplement en contournant la procédure d’authentification. Cette même faille a affecté MacOS il y a 11 mois, mais le problème a été vite identifié.
Les experts en cybersécurité tentent pour leur part de rassurer le public en expliquant que la vulnérabilité touche les serveurs et non les clients.
Des conséquences mineures ?
Peter Winter-Smith est un chercheur de la compagnie de sécurité NCC. C’est lui qui a révélé cette faille. C’est sur la base de ses analyses que les responsables de Secure Shell et de GitHub peuvent affirmer que l’impact du bug est mineur. Non seulement les clients seraient épargnés, mais les versions vulnérables de Libssh ne seraient que celles qui s’exécutent en mode serveur. De plus, techniquement, les milliers de sites qui utilisent Libssh ne sont pas automatiquement vulnérables.
Les responsables de la société font savoir sur Twitter que « GitHub.com et GitHub Entreprise ne sont pas affectés par CVE-2018-10933 en raison de la manière dont nous utilisons notre bibliothèque. »
GitHub utilise bien Libssh, mais sa procédure d’authentification est entièrement indépendante de la bibliothèque de l’implémentation de Secure Shell. Ceci étant, par précaution, GitHub vient de mettre sa bibliothèque à jour.
OpenSSH et Libssh2 épargnés
Le bug laisse néanmoins des professionnels perplexes. C’est le cas de Rob Graham, PDG de l’entreprise Errata Security. « C’est fascinant qu’un composant aussi fiable que le SSH devienne votre perte. » déclare-t-il.
Winter-Smith note par ailleurs que « La moitié des personnes sur Twitter semble craindre que cela n’affecte OpenSSH et GitHub. » ce qui n’est pas le cas. Justement, contrairement aux bruits de couloir, ni OpenSSH ni Libssh2 ne sont affectés par CVE-2018-10933.
Mineure ou pas, ce genre de situation n’est pas pour rassurer quiconque, surtout les clients.