Et si je vous disais qu\u2019il existe un futur o\u00f9 vous allez pouvoir vous connecter en SSH \u00e0 votre serveur de production avec votre compte Google et que celui-ci serait totalement invisible aux yeux du monde ?<\/p>\n
Et bien \u00e7a arrive bient\u00f4t et \u00e7a s\u2019appelle SSH3<\/strong> !<\/p>\n Alors d\u00e9j\u00e0, pas de panique, je vais pas vous sortir le speech classique du \u201cOh regardez, un nouveau protocole qui va r\u00e9volutionner le monde<\/em>\u201d. Non non, l\u2019histoire est beaucoup plus tordue que \u00e7a car SSH3, c\u2019est un sympt\u00f4me d\u2019un ph\u00e9nom\u00e8ne beaucoup plus gros qui est en train de se passer sous notre nez et qui est la \u201cwebisation<\/em>\u201d d\u2019Internet (oui, je viens d\u2019inventer ce mot).<\/em><\/p>\n Car pendant que tout le monde s\u2019excitait tous sur ChatGPT et les IA g\u00e9n\u00e9ratives, des chercheurs belges de l\u2019UCLouvain \u00e9taient tranquillement en train de planifier la disparition des serveurs SSH de la surface d\u2019Internet. Et je dis bien \u201cdispara\u00eetre\u201d dans le sens o\u00f9 votre serveur Pour r\u00e9ussir ce tour de magie, SSH3 utilise HTTP\/3 et QUIC au lieu du bon vieux protocole SSH traditionnel. Et l\u00e0 vous me dites \u201cMais Korben, c\u2019est quoi le rapport avec l\u2019invisibilit\u00e9 ?<\/em>\u201d Bah c\u2019est simple, comme SSH3 tourne sur les m\u00eames ports que n\u2019importe quel site HTTPS, impossible de distinguer un serveur SSH3 d\u2019un serveur web lambda. Vous pourriez m\u00eame planquer votre serveur SSH derri\u00e8re une URL secr\u00e8te\u2026 Tentez ensuite un scan de ports, et vous ne verrez rien de plus qu\u2019un stupide serveur web\u2026<\/p>\n Ce que j\u2019appelle \u201cwebisation\u201d, c\u2019est en fait l\u2019absorption totale de l\u2019infrastructure syst\u00e8me par les technologies du web. Et m\u00eame SSH, le protocole le plus fondamental de l\u2019administration syst\u00e8me pr\u00e9sent depuis 1995, va devoir capituler face \u00e0 HTTP\/3.<\/p>\n C\u2019est la victoire finale du navigateur sur le terminal, et personne n\u2019en cause vraiment\u2026 Avec SSH3, vous allez donc pouvoir utiliser vos certificats Let\u2019s Encrypt pour authentifier votre serveur et Mais attendez, le d\u00e9lire va encore plus loin puisque OAuth 2.0 et OpenID Connect sont \u00e9galement support\u00e9s nativement. Vous allez donc pouvoir vous connecter \u00e0 votre serveur de prod avec votre compte Google, Microsoft ou GitHub. Alors \u00e9videmment, l\u2019id\u00e9e de se logger sur un serveur critique avec son compte Gmail, \u00e7a peut faire peur mais on fait d\u00e9j\u00e0 confiance \u00e0 ces m\u00eames providers pour notre authentification partout ailleurs, donc un de plus ou un de moins\u2026 Puis j\u2019imagine que vous pourrez aussi mettre en place votre propre provider, ce qui vous permettra d\u2019\u00e9viter les GAFAM tout en ayant une gestion plus simple des acc\u00e8s \u00e0 vos machines.<\/p>\n Au niveau perfs, SSH3 \u00e9tablit une connexion en seulement 3 round-trips contre 5 \u00e0 7 pour SSH classique. Sur une connexion avec 100ms de latence, \u00e7a fait une diff\u00e9rence \u00e9norme. Et en bonus SSH3 supporte le port forwarding UDP en plus du TCP. Cela veut dire que vous pouvez enfin \u201ctunneler\u201d du QUIC, du DNS ou du RTP correctement\u2026 Ce projet a explos\u00e9 en d\u00e9cembre 2023 quand Fran\u00e7ois Michel et Olivier Bonaventure ont publi\u00e9 leur papier mais attention, c\u2019est encore exp\u00e9rimental. Les d\u00e9veloppeurs le r\u00e9p\u00e8tent partout : Ne mettez pas \u00e7a en prod tout de suite<\/strong> !<\/p>\n Alors est-ce qu\u2019on doit s\u2019inqui\u00e9ter de cette uniformisation des protocoles ?<\/p>\n Peut-\u00eatre car si tout le monde utilise les m\u00eames briques de base, une faille dans QUIC ou HTTP\/3 pourrait affecter absolument TOUT. Mais d\u2019un autre c\u00f4t\u00e9, concentrer les efforts de s\u00e9curit\u00e9 sur moins de protocoles, c\u2019est aussi moins de surface d\u2019attaque \u00e0 surveiller.<\/p>\n Maintenant pour tester SSH3, c\u2019est simple si vous avez Go install\u00e9 :<\/p>\n Ensuite c\u00f4t\u00e9 serveur, g\u00e9n\u00e9rez votre certificat avec<\/p>\n Et lancez le serveur. Ensuite, c\u00f4t\u00e9 client, connectez-vous avec<\/p>\n SSH3 est aussi r\u00e9trocompatible avec pas mal de features OpenSSH\u2026 Par exemple le proxy jump fonctionne, les fichiers de config ~\/.ssh\/config sont pars\u00e9s, les cl\u00e9s RSA et ed25519 sont support\u00e9es. Les dev ont vraiment pens\u00e9 \u00e0 faciliter la transition et \u00e7a c\u2019est cool !<\/p>\n Apr\u00e8s comme je sais que vous n\u2019aimez pas le changement parce que \u00e7a r\u00e9veille en vous de vieux traumatises d\u2019enfance, rassurez-vous, SSH3 n\u2019est pas encore pr\u00eat pour remplacer OpenSSH demain matin. Le code n\u2019a pas \u00e9t\u00e9 audit\u00e9 niveau s\u00e9cu, les perfs en throughput TCP sont moins bonnes qu\u2019OpenSSH, et il manque encore des fonctionnalit\u00e9s. Mais le concept est l\u00e0, et il semble tr\u00e8s solide !<\/p>\n Ce qui est s\u00fbr, c\u2019est que SSH3 ouvre des perspectives assez folles comme cette possibilit\u00e9 d\u2019avoir des serveurs compl\u00e8tement invisibles, accessibles uniquement via des URLs secr\u00e8tes, avec de l\u2019auth SSO d\u2019entreprise et des certificats standards. C\u2019est un sacr\u00e9 changement de paradigme dans la fa\u00e7on dont on acc\u00e8de \u00e0 nos machines\u2026 Car oui, pourquoi continuer \u00e0 maintenir des protocoles s\u00e9par\u00e9s quand on peut r\u00e9utiliser les briques modernes du web ? QUIC apporte la fiabilit\u00e9, TLS 1.3 la s\u00e9curit\u00e9, HTTP\/3 la flexibilit\u00e9.<\/p>\n Alors pourquoi r\u00e9inventer ou maintenir une vieille roue ?<\/p>\n Bref, c\u2019est un projet \u00e0 suivre. Tout se passe sur
\ndevient invisible aux scans de ports<\/a>
\n, car votre serveur SSH peut maintenant se planquer derri\u00e8re ce qui ressemble \u00e0 un banal site web.<\/p>\n
\nle GitHub du projet<\/a>
\nexplique que c\u2019est plus s\u00e9curis\u00e9 que les cl\u00e9s d\u2019h\u00f4tes SSH classiques car votre terminal v\u00e9rifiera le certificat comme le fait votre navigateur.<\/p>\n
\nEt si j\u2019en crois le draft IETF<\/a>
\n, c\u2019est parfaitement l\u00e9gitime et s\u00e9curis\u00e9 gr\u00e2ce \u00e0 l\u2019authentification HTTP standard.<\/p>\ngo install github.com\/francoismichel\/ssh3\/cmd\/...@latest\n<\/span><\/span><\/code><\/pre>\n`ssh3-server -generate-selfsigned-cert localhost`\n<\/span><\/span><\/code><\/pre>\n`ssh3 user@server`\n<\/span><\/span><\/code><\/pre>\n
\nle GitHub de Fran\u00e7ois Michel<\/a>
\net les contributions sont les bienvenues, surtout si vous avez des comp\u00e9tences en crypto ou en s\u00e9curit\u00e9 r\u00e9seau.<\/p>\n