Le protocole SSH permet aux administrateurs système d’accéder à distance et de contrôler des machines de manière sécurisée. Ce mécanisme repose sur un ensemble de primitives de cryptographie conçues pour assurer la confidentialité et l’intégrité des échanges.
La protection d’une connexion distante combine authentification forte et mises à jour régulières des composants. Les points essentiels suivants guident la configuration, la gestion des clés et le diagnostic courant.
A retenir :
- Chiffrement des sessions pour confidentialité et intégrité des commandes
- Authentification par clé pour réduction des risques d’accès non autorisé
- Tunneling SSH pour accès sécurisé aux ressources internes
- Maintenance régulière des services SSH et rotation périodique des clés
SSH : principes de chiffrement et échange de clés
Ce chapitre détaille le chiffrement et l’échange de clés qui protègent une connexion distante. Selon RFC 4251, l’échange d’algorithmes et la négociation d’une clé partagée sont des étapes centrales pour établir une session sûre.
Étape
But
Algorithme(s)
Remarques
Demande de connexion
Établir contact initial
—
Négociation des protocoles
Échange de clés
Établir secret partagé
DH, ECDH
Prévention des interceptions
Authentification du serveur
Vérifier identité du serveur
Clé publique RSA/Ed25519
Protection contre MITM
Authentification du client
Valider l’utilisateur
Mot de passe ou paire de clés
Privilégier clés
Session chiffrée
Chiffrement des données
AES, ChaCha20
Intégrité et confidentialité
Échange de clés et algorithmes recommandés
Cette sous-partie explique le rôle de l’échange de clés dans l’établissement d’un secret partagé. Selon The OpenSSH Project, les algorithmes modernes comme Ed25519 et ECDH offrent un bon équilibre entre sécurité et performance.
Le choix d’algorithme influe directement sur la latence et la charge CPU des sessions chiffrées. Il est recommandé de privilégier des suites acceptées par la communauté et supportées par les clients et serveurs.
Aspects techniques essentiels :
- Préférer Ed25519 pour l’authentification publique
- Utiliser ECDH pour l’échange de clés rapides
- Désactiver anciennes suites comme SHA-1
- Activer la vérification stricte des empreintes de clés
Authentification serveur et prévention MITM
Cette section couvre la vérification du serveur et les méthodes pour éviter un MITM. La comparaison des empreintes et l’enregistrement des clés connues restent des pratiques simples et efficaces.
« J’ai remplacé les mots de passe par des clés et les incidents ont chuté nettement. »
Lucie M.
Les choix d’algorithmes influencent la robustesse et la performance des sessions chiffrées. Ces fondations cryptographiques conditionnent l’utilisation des tunnels SSH et des transferts de fichiers sécurisés.
SSH pour transferts sécurisés et tunneling
Fort de ces mécanismes, le protocole permet le transfert protégé et la création d’un tunnel sécurisé. Selon OWASP, le tunneling SSH facilite l’accès aux ressources internes sans exposer directement les services au public.
SFTP et SCP pour le transfert de fichiers chiffrés
Cette partie explique les différences pratiques entre SFTP et SCP pour le transfert sécurisé. SFTP fournit un protocole plus riche que SCP, utile pour la gestion de fichiers et la reprise d’opérations interrompues.
Cas d’usage fréquents :
- Sauvegardes chiffrées vers serveurs distants
- Déploiements automatisés d’applications
- Transferts de données sensibles entre environnements
- Synchronisation d’archives et logs critiques
« Nous utilisons SFTP pour sauvegardes critiques et les opérations se sont fiabilisées. »
Marc L.
Tunneling SSH : types et exemples pratiques
Type
Direction
Usage exemple
Commande type
Transfert local
Local vers distant
Accès à une base interne
ssh -L 8080:internal:80 user@bastion
Transfert distant
Distant vers local
Exposer service local
ssh -R 2222:localhost:22 user@host
Transfert dynamique
Proxy SOCKS local
Navigation via bastion
ssh -D 1080 user@proxy
Tunnel sécurisé cloud
Varié
Accès à des consoles privées
ssh -N -L 8443:private:443 user@jump
Les tunnels permettent de contourner des pare-feu légitimes pour des opérations administratives contrôlées. L’enjeu suivant est la gestion des accès et la sécurité des clés pour limiter la surface d’attaque.
Bonnes pratiques pour administrateurs système et gestion des clés
Suite aux usages de tunneling et transfert, il faut renforcer la gestion des accès pour les administrateurs système. Comprendre ces mécanismes aide l’administrateur à réduire la charge opérationnelle tout en améliorant la sécurité.
Politiques de gestion des clés et rotation
Cette section détaille les règles pratiques pour stocker et faire tourner les clés SSH. La rotation périodique et l’usage de phrases secrètes solides limitent l’impact d’une clé compromise.
Règles de gestion :
- Stockage sécurisé des clés privées hors des postes partagés
- Utilisation de phrases secrètes complexes et gestion des agents
- Rotation régulière et révocation automatique des clés inutilisées
- Limitation des privilèges accordés par clé
« L’accès distant via SSH a sauvé nos opérations lors d’une panne. »
Thomas P.
Contrôles d’accès, mises à jour et audits
Cette partie explique l’importance des permissions, des correctifs et de l’audit pour maintenir une surface d’attaque réduite. Les logiciels SSH régulièrement corrigés limitent l’exploitation de vulnérabilités connues.
Pratiques recommandées :
- Désactivation de l’authentification par mot de passe pour les comptes sensibles
- Journalisation centralisée et revue périodique des accès
- Application rapide des correctifs critiques de sécurité
- Utilisation d’outils de gestion des identités et des accès
« L’authentification par clé devrait être la norme pour tous les administrateurs. »
Claire B.
La sécurité de SSH combine plusieurs couches : cryptographie, authentification, et procédures opérationnelles. Pour aller plus loin, il convient d’aligner ces pratiques avec les politiques de sécurité de l’organisation.
Source : T. Ylonen, C. Lonvick, « The Secure Shell (SSH) Protocol Architecture », IETF, 2006 ; The OpenSSH Project, « OpenSSH », OpenSSH ; OWASP Foundation, « SSH Security Cheat Sheet », OWASP.
