La faiblesse identifiée concerne les algorithmes de clés hôte SSH (host-key algorithms) utilisés par le service SSH (port 22) reposant sur Dropbear sshd. Cette alerte indique que le service SSH accepte des algorithmes de clés hôte anciens ou non recommandés, ce qui peut affaiblir le niveau de sécurité cryptographique des connexions SSH.
Le niveau de risque réel est faible à modéré, car cette faiblesse ne permet pas une compromission directe du système. Toutefois, l’utilisation d’algorithmes obsolètes peut réduire la résistance cryptographique des échanges et, dans des scénarios avancés, faciliter des attaques théoriques visant l’authenticité du serveur ou la robustesse du chiffrement. Ce risque est principalement cryptographique et préventif, et non immédiatement exploitable.
Cette alerte apparaît lorsque le serveur SSH maintient une compatibilité avec d’anciens clients en acceptant des algorithmes tels que RSA de faible taille, DSA, ou d’autres mécanismes aujourd’hui déconseillés par les standards de sécurité actuels. Il s’agit d’une configuration perfectible, courante sur des systèmes embarqués ou des environnements nécessitant une compatibilité étendue.
Les bonnes pratiques recommandées consistent à restreindre les algorithmes de clés hôte SSH aux algorithmes modernes et robustes, tels que Ed25519 ou RSA avec une taille de clé suffisante (≥ 3072 bits), et à désactiver les algorithmes obsolètes ou faibles. Il est également recommandé de maintenir le service SSH et ses bibliothèques cryptographiques à jour, et de limiter l’accès SSH par filtrage réseau ou authentification forte.
La mise en œuvre de ces bonnes pratiques permet de supprimer cette alerte, de renforcer la sécurité des accès distants, et d’aligner la configuration SSH avec les standards de sécurité actuels, sans impact pour les utilisateurs légitimes.