Imaginez un futur où vous pouvez vous connecter en SSH à votre serveur de production via votre compte Google, tout en restant totalement invisible aux yeux du monde. Cette réalité proche s’appelle SSH3, un nouveau projet qui, loin d’être une simple mise à jour technique, marque le début d’une “webisation” d’Internet. Ce terme, que j’ai récemment inventé, désigne l’intégration croissante des outils web au cœur des infrastructures système, y compris dans des protocoles fondamentaux comme SSH.
SSH3, développé par des chercheurs belges de l’UCLouvain, utilise HTTP/3 et QUIC au lieu du protocole SSH traditionnel. Cette innovation permet de masquer un serveur SSH derrière ce qui ressemble à un banal site web, rendant ainsi impossible la détection de ce serveur via les scans de ports. En d’autres termes, un serveur SSH3 peut se dissimuler derrière une URL secrète, faisant passer son accès pour un simple trafic HTTPS et rendant invisible sa véritable nature.
SSH3 représente une évolution fondamentale dans l’accès aux serveurs, ouvrant la voie à des connexions plus sécurisées et invisibles grâce aux technologies modernes du web.
En termes de sécurité, SSH3 intègre l’authentification via des certificats Let’s Encrypt, s’avérant plus sûre que les clés d’hôtes SSH classiques. En ajoutant la prise en charge natale de protocoles tels qu’OAuth 2.0 et OpenID Connect, il devient possible de se connecter à votre serveur de production en utilisant des comptes Google, Microsoft ou GitHub. Bien que cela puisse susciter des préoccupations, il est important de se rappeler que nous faisons déjà confiance à ces prestataires pour l’authentification dans de nombreux autres contextes.
Du côté des performances, SSH3 établit des connexions en seulement trois round-trips, contre cinq à sept pour le SSH classique, ce qui représente un gain de vitesse conséquent. De plus, le support du port forwarding UDP permet d’améliorer les tunneling en QUIC, DNS ou RTP. Ce projet, qui a pris de l’ampleur en décembre 2023 grâce à la publication d’un article par François Michel et Olivier Bonaventure, reste cependant expérimental et il est conseillé de ne pas encore l’utiliser en production.
Une question se pose donc : cette uniformisation des protocoles doit-elle nous inquiéter ? Si le fait d’utiliser des briques communes peut offrir des avantages en matière de sécurité, il n’en reste pas moins qu’une faille dans ces technologies pourrait avoir des conséquences d’une ampleur considérable. Quoi qu’il en soit, SSH3 ouvre des perspectives prometteuses pour un accès aux serveurs totalement invisible, dans un cadre de sécurité moderne et assisté par des outils de gestion des accès simplifiés.
