La faiblesse identifiée concerne les algorithmes d’échange de clés (Key Exchange – KEX) utilisés par le service SSH (port 22) reposant sur Dropbear SSH. Cette alerte indique que le service SSH accepte des algorithmes d’échange de clés anciens ou non recommandés, ce qui peut réduire le niveau de sécurité cryptographique lors de l’établissement des sessions.
Le niveau de risque réel est faible à modéré, car cette faiblesse ne permet pas une compromission directe du système. Toutefois, l’utilisation d’algorithmes KEX obsolètes peut affaiblir la confidentialité des échanges et, dans des scénarios avancés, faciliter des attaques cryptographiques théoriques sur la phase de négociation de la clé. Le risque est principalement préventif et lié au durcissement cryptographique, plutôt qu’à une exploitation immédiate.
Cette alerte apparaît lorsque le serveur SSH maintient une compatibilité avec d’anciens clients en acceptant des mécanismes tels que diffie-hellman-group1-sha1, group14-sha1 ou d’autres variantes aujourd’hui déconseillées. Il s’agit d’une configuration perfectible, fréquente sur des environnements embarqués ou nécessitant une compatibilité étendue.
Les bonnes pratiques recommandées consistent à restreindre les algorithmes d’échange de clés aux mécanismes modernes et robustes, tels que curve25519-sha256, curve25519-sha256@libssh.org, ou diffie-hellman-group14-sha256 / group16 / group18. Il est également recommandé de désactiver les algorithmes basés sur SHA-1, de maintenir le service SSH à jour, et de limiter l’exposition du service SSH par des contrôles d’accès réseau appropriés.
La mise en œuvre de ces bonnes pratiques permet de supprimer cette alerte, de renforcer la confidentialité et la robustesse des connexions SSH, et d’aligner la configuration avec les standards de sécurité actuels, sans impact pour les utilisateurs légitimes.