La faiblesse identifiée concerne les algorithmes de codes d’authentification de message (MAC – Message Authentication Code) utilisés par le service SSH (port 22) reposant sur Dropbear sshd. Cette alerte indique que le service SSH accepte des algorithmes MAC anciens ou non recommandés, ce qui peut affaiblir l’intégrité cryptographique des communications.
Le niveau de risque réel est faible à modéré, car cette faiblesse ne permet pas une compromission directe du système. Toutefois, l’utilisation d’algorithmes MAC obsolètes peut réduire le niveau de protection contre la modification des données en transit et, dans des scénarios avancés, faciliter des attaques cryptographiques théoriques. Le risque est principalement préventif et lié à la robustesse cryptographique, plutôt qu’à une exploitation immédiate.
Cette alerte apparaît lorsque le serveur SSH maintient une compatibilité avec d’anciens clients en acceptant des algorithmes MAC tels que HMAC-SHA1 ou d’autres mécanismes aujourd’hui déconseillés. Il s’agit d’une configuration perfectible, fréquente sur des environnements embarqués ou contraints.
Les bonnes pratiques recommandées consistent à restreindre les algorithmes MAC SSH aux algorithmes modernes et robustes, tels que HMAC-SHA2-256 et HMAC-SHA2-512, ou à utiliser des suites AEAD (par exemple chacha20-poly1305@openssh.com lorsque disponible). Il est également recommandé de désactiver les algorithmes MAC obsolètes, de maintenir le service SSH à jour, et de limiter l’exposition du service SSH par des contrôles d’accès réseau.
La mise en œuvre de ces bonnes pratiques permet de supprimer cette alerte, de renforcer l’intégrité et la sécurité des connexions SSH, et d’aligner la configuration avec les standards de sécurité actuels, sans impact pour les utilisateurs légitimes.