Microsoft met en garde contre ChapCrack
Un outil open source qui casse la sécurité de MS-CHAP V2 et PPTP utilisés sur les réseaux VPN

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Sur le même sujet
Le , par Hinault Romaric, Responsable Actualités
Microsoft met en garde contre un problème de sécurité grave dans MS-CHAP V2, pouvant survenir grâce à l’utilisation de l’outil ChapCrack.

MS-CHAP V2 est un système d’authentification développé par Microsoft, utilisé principalement dans le protocole Point-to-Point Tunneling (PPTP). Malgré son âge avancé, il est encore largement disponible dans les réseaux privés virtuels (VPN) actuels.

Depuis 1999, une vulnérabilité avait été découverte au sein du système, permettant des attaques par force brute. MS-CHAP v2 repose sur une combinaison complexe de trois opérations DES (Data Encryption Standard), un algorithme de chiffrement symétrique.

Cette combinaison peut être craquée en essayant l’ensemble des clés de 56 bits DES possibles. Quelle que soit donc la complexité du mot de passe, un serveur un peu spécial peut terminer cette tâche en moins d’une journée en utilisant les réseaux logiques programmables FPGA (Field-programmable gate array).

Lors de la dernière conférence Defcon 20 sur la sécurité qui s’est tenue du 26 au 29 juillet à Las Vegas, un chercheur a publié ChapCrack, un outil permettant de casser le cryptage de toute session PPTP utilisant MS-CHAP V2.

Une fois qu'une session PPTP en cours a été enregistrée par un analyseur de réseau, ChapCrack peut extraire les jetons requis et la clé de sécurité DES qui peut être déchiffrée en moins de 24 heures par le service en ligne spécialisé dans le craquage des mots de passe CloudCracker.com.

Cette clé pourra par la suite être utilisée pour déchiffrer tout le trafic du réseau. Les réseaux Wi-Fi utilisant la norme WPA2 et MS-CHAP v2 sont également vulnérables.

Microsoft n’envisage pas d’apporter une mise à jour de sécurité à MS-CHAP, sous prétexte que la faille est due à des faiblesses cryptographiques connues dans le protocole MS-CHAP 2.

La firme attire néanmoins l’attention des utilisateurs sur les risques de sécurité de cette faille, et recommande aux administrateurs d’utiliser le protocole PEAP (Protected Extensible Authentication Protocol) pour sécuriser les mots de passe des sessions VPN. Les entreprises peuvent à défaut migrer vers une technologie VPN sécurisée comme l'IPSec ou l'OpenVPN.

ChapCrack est disponible sous une licence open source sur GitHub.

Télécharger ChapCrak sur GitHub

Source : Microsoft

Et vous ?

Votre réseau VPN repose-t-il encore sur PPTP ? Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Tryp' Tryp'
http://www.developpez.com
Nouveau Membre du Club
le 22/08/2012 16:15
La blague, Microsoft prévient qu'un logiciel est capable d'exploiter une faille dans leur système ; faille découverte il y a 13 ans. Ils auraient pu attendre encore un peu, non ?

Cette clé pourra par la suite être utilisée pour déchiffrer tout le trafic du réseau. Les réseaux Wi-Fi utilisant la norme WPA2 et MS-CHAP v2 sont également vulnérables.

Par contre, je ne suis pas sûr de bien comprendre ce qui est relatif à WPA2. Il faut avoir réussi à casser la clé DES d'une session PPTP pour pouvoir enfin craquer le réseau sans fil ou bien cette faille affecte directement le protocole WPA2 ? Si quelqu'un est capable de m'éclairer...
Avatar de signix signix
http://www.developpez.com
Membre du Club
le 22/08/2012 16:42
D'après le github (https://github.com/moxie0/chapcrack) c'est plutot que les VPN MS-CHAP reposant sur PPTP et WPA2 sont vulnérables.
Bonne lecture
Avatar de sevyc64 sevyc64
http://www.developpez.com
Modérateur
le 22/08/2012 16:46
Citation Envoyé par Tryp'  Voir le message
La blague, Microsoft prévient qu'un logiciel est capable d'exploiter une faille dans leur système ; faille découverte il y a 13 ans. Ils auraient pu attendre encore un peu, non ?

Tu as lu l'article ? Le logiciel en question est apparu il y a à peine 3 semaines.
Avatar de TheGuit TheGuit
http://www.developpez.com
Invité régulier
le 22/08/2012 16:48
Pour WPA2 c'est qu'il existe des mécanisme d'authentification pour entreprise reposant sur MS-CHAP2 donc je pense que ce sont ceux qui sont vulnérable.
Avatar de TheGuit TheGuit
http://www.developpez.com
Invité régulier
le 22/08/2012 16:49
Citation Envoyé par sevyc64  Voir le message
Tu as lu l'article ? Le logiciel en question est apparu il y a à peine 3 semaines.

Oui enfin la faille existe depuis très longtemps, juste là y a un logiciel qui permet de l'exploiter rapidement...
Avatar de sevyc64 sevyc64
http://www.developpez.com
Modérateur
le 22/08/2012 16:55
Oui, le protocole est censé ne plus être utilisé depuis longtemps aussi.

Comme IE6, ou XP qui sont de vrai passoires en matière de sécurité, censé ne plus être utilisé non plus
Avatar de Tryp' Tryp'
http://www.developpez.com
Nouveau Membre du Club
le 23/08/2012 9:24
Citation Envoyé par sevyc64  Voir le message
Tu as lu l'article ? Le logiciel en question est apparu il y a à peine 3 semaines.

Je parlais en effet de la faille bien entendu, et non pas du logiciel.

Citation Envoyé par sevyc64  Voir le message
Oui, le protocole est censé ne plus être utilisé depuis longtemps aussi.

Comme IE6, ou XP qui sont de vrai passoires en matière de sécurité, censé ne plus être utilisé non plus

Oui, du coup on peut se permettre de ne rien corriger, même si beaucoup d'utilisateurs sont encore sur ces systèmes. Maintenant, pourquoi ces personnes restent-elles sur XP ou IE6 ? Il suffit de voir le prix de la licence Windows à mon avis. L'évolution de la technologie (et donc de la sécurité) contre du blé, sympa (bien que IE sur XP peut quand même être upgradé...).

Cependant, je ne connais pas assez les protocoles de tunneling pour en parler vraiment, je ne sais pas par exemple si passer de l'un à l'autre est réellement simple ou bien s'il faut y consacrer beaucoup de temps, ou encore si cela inclue l'achat d'une licence, etc.

Aussi, quand est apparu le nouveau protocole PEAP ? Quand le protocole MS-CHAPv2 a-t-il été déclaré obsolète ? Sachant qu'une faille a été découverte dès 1999.

Merci pour les réponses concernant WPA2, c'est également ce que j'avais compris mais je n'étais pas certain.
Avatar de sevyc64 sevyc64
http://www.developpez.com
Modérateur
le 23/08/2012 11:55
Citation Envoyé par Tryp'  Voir le message
Maintenant, pourquoi ces personnes restent-elles sur XP ou IE6 ? Il suffit de voir le prix de la licence Windows à mon avis.

LE fameux argument bidon qui ressort chaque fois. Depuis octobre 2009, toutes les machines (ou presque) sont vendues avec une licence W7 OEM inclue dans le prix. Cette licence là ne coute rien, par contre ça coute du temps et théoriquement aussi une licence XP pour downgrader une machine achetée avec W7 OEM vers XP non OEM pour le coup.

Donc au prix de la licence Windows, si tu fais les comptes, ça coute plus cher de rester en XP.

Citation Envoyé par Tryp'  Voir le message
(bien que IE sur XP peut quand même être upgradé...).

Oui en IE7 depuis fin 2006, en IE8 depuis fin 2009.
Pourquoi rester en IE6 ? la liste des arguments avancés est longue, tous aussi bidon les uns que les autres.

Personnellement, de toutes les discussions, de tous les débats que j'ai pu avoir sur les raisons de rester en IE6 et XP, et avec des professionnels de l'informatique ou des responsables et dirigeants en entreprise, je n'ai pas encore entendu un argument défendable pour garder IE6. Il y a quelques cas rares pour garder XP, mais rien qui, je pense ne peut être résolu, en creusant un peu, avec les modes de compatibilité d’exécution de W7, voire le XPmode.

Mais je peux te dire qu'une entreprise qui perd la moitié de ses données et quelques secrets de fabrications à cause d'une faille de XP ou de IE6, il lui faut pas des semaines pour décider d'une migration.
Avatar de Tryp' Tryp'
http://www.developpez.com
Nouveau Membre du Club
le 23/08/2012 12:31
Citation Envoyé par sevyc64  Voir le message
LE fameux argument bidon qui ressort chaque fois. Depuis octobre 2009, toutes les machines (ou presque) sont vendues avec une licence W7 OEM inclue dans le prix. Cette licence là ne coute rien, par contre ça coute du temps et théoriquement aussi une licence XP pour downgrader une machine achetée avec W7 OEM vers XP non OEM pour le coup.

Argument bidon ? Déjà, je ne parle pas de downgrader une machine W7 vers une XP, je confirme que ce serait débile. Déjà, tout le monde n'achète pas de nouvelles machines tous les 3 ans (particuliers et professionnels), donc la licence OEM incluse dans le prix de vente, nada.

Après je ne te contredis pas sur le fait qu'il est nécessaire d'évoluer d'XP vers W7, mais d'un point de vue financier, les coûts immédiats sont plutôt importants, que ce soit une licence W7 simple pour un particulier ou un renouvellement d'un parc de machines dans le milieu professionnel.

Dans une entreprise, cela doit apeurer les décisionnaires, voilà tout. Après, avec une étude poussée démontrant clairement qu'XP fera au final perdre plus d'argent (et peut-être même du savoir-faire, tu as raison) qu'une migration vers W7, le choix sera peut-être plus facilité, et encore. Mais pour un particulier... soit il s'intéresse à l'informatique, comprend les failles d'XP et a les moyens d'acheter une licence W7, soit il télécharge une version piratée, soit il attend un futur achat d'ordinateur pour passer sur W8. Du moins, c'est mon avis.

Citation Envoyé par sevyc64  Voir le message
Oui en IE7 depuis fin 2006, en IE8 depuis fin 2009.
Pourquoi rester en IE6 ? la liste des arguments avancés est longue, tous aussi bidon les uns que les autres.

Je ne dis pas le contraire, ça ne me semble pas responsable de maintenir une version IE6 alors que la 8 est inclue dans XP.

Enfin bref, nous dévions beaucoup du sujet d'origine là.
Avatar de yuan yuan
http://www.developpez.com
Nouveau Membre du Club
le 29/08/2012 11:50
Il est clair que le MS-CHAP V2 doit encore être largement utilisé dans nombre de tunnels PPTP de part le monde.

Mais est-ce si facile de passer à PEAP ? Nombre de clients PPTP (par exemple sous Android ou iOS) ne doivent pas supporter ce protocole.

Par ailleurs à ce jour je ne suis jamais parvenu à faire fonctionner un tunnel avec PEAP entre un client Win7SP1 et un serveur Win2008R2 SP1.
Offres d'emploi IT
Architecte .net
CDI
AMETIX - Ile de France - Saint-Denis (93200)
Parue le 05/11/2014
CONSULTANT-FORMATEUR AIS
CDI
Axway - Ile de France - Puteaux
Parue le 28/10/2014
H/F Ingénieur de Production
CDI
Sogeti - Régions - Nord - Nord Pas-de-Calais - METROPOLE LILLOISE (59000)
Parue le 28/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula