Cybersécurité : un serveur SCP malicieux peut détruire des fichiers locaux

Le spécialiste de la cybersécurité Harry Sintonen de F-Secure a découvert un ensemble de vulnérabilités de sécurité dans le protocole de transfert de fichiers SCP (Secure Copy Protocol) d’Unix, qui sont passées inaperçues depuis 1983.

Un serveur malveillant peut non seulement corrompre les fichiers téléchargés à la volée, mais aussi affecter les fichiers locaux, changer leurs permissions voire les effacer…

En cause, certains clients SCP effectuent des demandes vers un serveur, mais ne vérifient pas que les objets renvoyés correspondent aux demandes.

Une autre faille permet de changer arbitrairement les attributs du dossier cible.

Deux autres failles de sécurité permettent à un serveur malicieux d’envoyer des fichiers corrompus.

Les trois clients affectés sont : OpenSSH scp, PuTTY PSCP et WinSCP en mode SCP.

Leurs développeurs ont été alertés en août 2018. Sintonen a rendu public les alertes de sécurité le 11 janvier 2019.

Seul WinSCP a été corrigé, en octobre, avec la version 5.14, toujours en bêta.

PuTTY n’a pas été mis à jour depuis juillet 2017.

OPENSSH scp n’a été corrigé que partiellement en novembre. Sintonen propose un correctif de code source à appliquer à la main.

A priori, il faut donc préférer rsync à scp, d’autant que ses transferts sont plus rapides.