Tout le monde le sait : il ne faut jamais exposer un serveur SSH sur le net avec un mot de passe "trivial". Mais dans les faits, en combien de temps un tel serveur est-il exploité par des personnes mal intentionnées ? C'est ce que j'ai essayé de déterminer en mettant en place un petit honeypot ...
Le test a été réalisé sur un serveur installé spécifiquement pour cette opération (Debian 7) en utilisant une adresse IP publique inexploitée depuis plusieurs années. J'ai modifié mon .bashrc pour recevoir un email lorsqu'une session SSH était active sur ce serveur (utilisateur connecté en "root"). Afin de ne pas prendre de risques, ce serveur était également paramétré pour s'éteindre automatiquement dès qu'une session SSH était active (on ne sait jamais ...). Enfin j'ai tout simplement choisi (pour le compte "root") le mot de passe le plus utilisé en 2014 : "123456". Difficile de faire moins sécurisé
Le serveur a été mis en ligne le 27 mars à 17h20. La première connexion SSH détectée (et réussie) a eu lieu le 28 mars à 5h40. Le serveur a donc été repéré, testé et accédé en 12h et 20mn !
Cette expérience montre que le choix d'un mot de passe complexe est particulièrement important. En matière de connexion SSH, l'usage de clés (et l'interdiction des mots de passe) me semble même être un impératif.
- Crédit photo : Vlastimil Koutecký
Jeu de briques
Snake
Pacman
Bubble