Selon un développeur d’OpenSSH, les Hackers qui prétendaient avoir découvert un bug ressemblant à Heartbleed ne sont que des arnaqueurs.
OpenSSH est utilisé pour se connecter à distance aux systèmes Unix et il est inclus dans de nombreux systèmes d’exploitation, routeurs et Switch. De nombreuses entreprises l’utilisent et on peut citer IBM, Hewlett-Packard, Cisco Systems et Red Hat.
Sur Pastebin, les Hackers prétendent qu’il y a 2 ans, ils avaient trouvé un bug dans OpenSSH qui permettait d’accéder à distance aux données d’un serveur. Ils prétendaient que l’exploitation de la faille révélait les Hashes, les clés et d’autres données de l’utilisateur. De plus, ils affirment qu’ils ont mis à des pots de miel (des pièges pour les pirates) pour vérifier si leur PC seraient attaqués si un autre groupe avait découvert cette faille. Et ils proposaient de vendre cette faille pour 20 Bitcoins, soit 8600 dollars.
Ils écrivent que : Nous n’avons pas accès aux marchés noirs et nous serions heureux de le vendre à tous les Hackers qui seraient intéressés.
La communauté a été très sceptique sur cette annonce. Et Theo de Raadt, le fondateur du projet OpenBSD, qui inclut OpenSSH a écrit dans un mail que ce type d’annonce apparaît environ tous les 6 mois.
De Raatd écrit : Nous n’avons aucune preuve que ce soit vrai. N’importe qui pourrait créer ce type de document en quelques heures. De plus, le code affiché dans Pastebin concerne un tampon de mémoire qui peut être générée par une commande Unix très connue.
Il est évident que les pirates tentent d’exploiter financièrement la panique provoquée par le Heartbleed qui concernait OpenSSL. Ainsi, ce bug concerne la plupart des sites qui utilisent une connexion sécurisée.
Le bug Heartbleed qui a été découvert en avril dernier a touché de nombreux administrateurs système puisque cette faille permettait d’accéder aux clés privées SSL ainsi que les informations des utilisateurs. Cela a également montré le problème de sous-financement sur les projets Open Source qui sont pourtant utilisés par la plupart des infrastructures internet.
Similaire à OpenSSL, une faille dans OpenSSH serait également un risque sérieux. Et en dépit de son utilisation répandue, le projet dépend uniquement des donations et personne ne veut faire ces donations selon De Raatd.
Les 2 plus grands donateurs d’OpenBSD sont Facebook qui a donné 150 000 dollars pour cette année ainsi que Google qui contribue depuis les 3 dernières annnées.
De Raatd ajoute que : En dépit de Heartbleed, l’enthousiasme pour les projets Open Source diminue à la vitesse de l’éclair.
Il écrit : J’ignore si l’industrie n’a pas assez de vision concernant ce type de problème. En fait, les gens l’ont déjà oublié dans la plupart des cas.