Pendant plus de deux ans, un attaquant utilisant le nom de "Jia Tan" a travaillé comme un contributeur diligent et efficace à la bibliothèque de compression xz, se voyant finalement accorder l'accès au commit et à la maintenance. Grâce à cet accès, il a installé une porte dérobée très subtile et soigneusement cachée dans liblzma, une partie de xz qui se trouve également être une dépendance d'OpenSSH sshd sur Debian, Ubuntu, Fedora et d'autres systèmes Linux basés sur systemd. Cette porte dérobée permet à l'attaquant d'envoyer des commandes cachées au début d'une session SSH, ce qui lui donne la possibilité d'exécuter une commande arbitraire sur le système cible sans se connecter : une exécution de code à distance ciblée et non authentifiée.
SSH est l'outil standard utilisé par quasiment tous ceux qui accèdent au serveur. Pourtant, très peu de gens connaissent les certificats SSH.
Excellent article pratique de mise en oeuvre de certificat pour se connecter sur des serveurs.
Passé la toute première connexion (et le potentiel TOFU), l’usage de SSH est lié à un utilisateur : c’est l’utilisateur qui cherche à se connecter pour faire ses opérations sur le serveur distant.
Pour cette connexion, on connaît habituellement deux options : le mot de passe et la clé SSH, mais puisqu’un mot de passe ne sera jamais aussi sécurisé qu’une clé SSH, on favorise cette dernière. Mais même elle a des défauts notables.
