Dans le numéro 23 (fev 99) de "La revue de la sécurité des systèmes
d'information au CNRS" on peut y voir un article parlant de SSF (version
SSH limitée à 40bits). Dans cet article on peut lire:
J'ai constaté qu'il y a un canal subliminal dans le padding : ceci est un
problème grave du protocole SSH, pas de l'implémentation. Sans entrer ici
trop dans la technique, résumons en disant que ce dispositif permet de
pervertir le protocole d'une façon totalement indétectable par une des
parties communicantes ou les deux, (d'où l'origine du terme «subliminal»),
pour (par exemple) permettre le déchiffrement et l'écoute de la
communication par un tiers. Les auteurs (commerciaux) du protocole ont été
très peu réceptifs à ma demande de correction de cette faille (y compris
pour la traiter dans la définition de la nouvelle version 2 de ce protocole
en cours de standardisation). Mais des mauvaises langues vous diront que la
présence d'un canal subliminal est une «obligation» pour un produit
«autorisé» à l'export outre océan…
Si quelqu'un à des informations la dessus…
NdM. : cette dépêche a été initialement publiée le 07/07/1999 à 10h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).