A en croire le document confidentiel qui a filtré sur le net ce weekend datant de 2012, il semblerait que la NSA ait travaillé sur une modification du processus SSHD du package OpenSSH pour permettre à « n’importe qui » de pouvoir prendre le contrôle root d’un serveur ayant ce fameux processus de lancé. Par n’importe qui, nous entendons ceux qui possèdent la bonne paire de clés d’authentification (pubkey).
En effet, en lisant ce document, on apprend comment et à quelles difficultés s’est heurté(e) l’un(e) des employé(e)s en charge de développer cette version pirate du processus SSHD et notamment pour s’accorder l’accès root sans que le processus ne s’en rende compte et ne bloque la connexion.
Pour le moment, nous ne savons pas comment la NSA aurait pu s’ y prendre pour infecter les machines car il faut à minima modifier l’exécutable d’origine par celui-ci pour arriver à ses fins. Nous ne savons pas non plus l’étendu des dégâts et si ce fameux processus pirate est largement présent sur les serveurs.
Grâce à Edward Snowden, nous savons que l’agence de sécurité américaine a eu la possibilité d’intercepter les machines (ordinateurs et serveurs) avant leur livraison finale et aurait pu potentiellement mettre en place ce genre de choses. Cela aurait aussi pu passer par des attaques plus classiques d’infection par malware ou trojan visant à remplacer ce processus.
Voici donc encore une très mauvaise publicité pour la NSA et qui malheureusement en dit long sur ses pratiques plus que douteuses.
