IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Microsoft met en garde contre ChapCrack


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 570
    Points : 252 333
    Points
    252 333
    Billets dans le blog
    118
    Par défaut Microsoft met en garde contre ChapCrack
    Microsoft met en garde contre ChapCrack
    un outil open source qui casse la sécurité de MS-CHAP V2 et PPTP utilisés sur les réseaux VPN

    Microsoft met en garde contre un problème de sécurité grave dans MS-CHAP V2, pouvant survenir grâce à l’utilisation de l’outil ChapCrack.

    MS-CHAP V2 est un système d’authentification développé par Microsoft, utilisé principalement dans le protocole Point-to-Point Tunneling (PPTP). Malgré son âge avancé, il est encore largement disponible dans les réseaux privés virtuels (VPN) actuels.

    Depuis 1999, une vulnérabilité avait été découverte au sein du système, permettant des attaques par force brute. MS-CHAP v2 repose sur une combinaison complexe de trois opérations DES (Data Encryption Standard), un algorithme de chiffrement symétrique.

    Cette combinaison peut être craquée en essayant l’ensemble des clés de 56 bits DES possibles. Quelle que soit donc la complexité du mot de passe, un serveur un peu spécial peut terminer cette tâche en moins d’une journée en utilisant les réseaux logiques programmables FPGA (Field-programmable gate array).

    Lors de la dernière conférence Defcon 20 sur la sécurité qui s’est tenue du 26 au 29 juillet à Las Vegas, un chercheur a publié ChapCrack, un outil permettant de casser le cryptage de toute session PPTP utilisant MS-CHAP V2.

    Une fois qu'une session PPTP en cours a été enregistrée par un analyseur de réseau, ChapCrack peut extraire les jetons requis et la clé de sécurité DES qui peut être déchiffrée en moins de 24 heures par le service en ligne spécialisé dans le craquage des mots de passe CloudCracker.com.

    Cette clé pourra par la suite être utilisée pour déchiffrer tout le trafic du réseau. Les réseaux Wi-Fi utilisant la norme WPA2 et MS-CHAP v2 sont également vulnérables.

    Microsoft n’envisage pas d’apporter une mise à jour de sécurité à MS-CHAP, sous prétexte que la faille est due à des faiblesses cryptographiques connues dans le protocole MS-CHAP 2.

    La firme attire néanmoins l’attention des utilisateurs sur les risques de sécurité de cette faille, et recommande aux administrateurs d’utiliser le protocole PEAP (Protected Extensible Authentication Protocol) pour sécuriser les mots de passe des sessions VPN. Les entreprises peuvent à défaut migrer vers une technologie VPN sécurisée comme l'IPSec ou l'OpenVPN.

    ChapCrack est disponible sous une licence open source sur GitHub.

    Télécharger ChapCrak sur GitHub



    Source : Microsoft


    Et vous ?

    Votre réseau VPN repose-t-il encore sur PPTP ? Qu'en pensez-vous ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre du Club Avatar de Tryp'
    Homme Profil pro
    Inscrit en
    novembre 2008
    Messages
    48
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bas Rhin (Alsace)

    Informations forums :
    Inscription : novembre 2008
    Messages : 48
    Points : 53
    Points
    53
    Par défaut
    La blague, Microsoft prévient qu'un logiciel est capable d'exploiter une faille dans leur système ; faille découverte il y a 13 ans. Ils auraient pu attendre encore un peu, non ?

    Cette clé pourra par la suite être utilisée pour déchiffrer tout le trafic du réseau. Les réseaux Wi-Fi utilisant la norme WPA2 et MS-CHAP v2 sont également vulnérables.
    Par contre, je ne suis pas sûr de bien comprendre ce qui est relatif à WPA2. Il faut avoir réussi à casser la clé DES d'une session PPTP pour pouvoir enfin craquer le réseau sans fil ou bien cette faille affecte directement le protocole WPA2 ? Si quelqu'un est capable de m'éclairer...

  3. #3
    Membre habitué

    Profil pro
    Développeur informatique
    Inscrit en
    mars 2008
    Messages
    50
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mars 2008
    Messages : 50
    Points : 177
    Points
    177
    Par défaut
    D'après le github (https://github.com/moxie0/chapcrack) c'est plutot que les VPN MS-CHAP reposant sur PPTP et WPA2 sont vulnérables.
    Bonne lecture

  4. #4
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 963
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 963
    Points : 27 040
    Points
    27 040
    Par défaut
    Citation Envoyé par Tryp' Voir le message
    La blague, Microsoft prévient qu'un logiciel est capable d'exploiter une faille dans leur système ; faille découverte il y a 13 ans. Ils auraient pu attendre encore un peu, non ?
    Tu as lu l'article ? Le logiciel en question est apparu il y a à peine 3 semaines.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  5. #5
    Membre régulier
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juin 2005
    Messages
    27
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : juin 2005
    Messages : 27
    Points : 91
    Points
    91
    Par défaut
    Pour WPA2 c'est qu'il existe des mécanisme d'authentification pour entreprise reposant sur MS-CHAP2 donc je pense que ce sont ceux qui sont vulnérable.

  6. #6
    Membre régulier
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juin 2005
    Messages
    27
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : juin 2005
    Messages : 27
    Points : 91
    Points
    91
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Tu as lu l'article ? Le logiciel en question est apparu il y a à peine 3 semaines.
    Oui enfin la faille existe depuis très longtemps, juste là y a un logiciel qui permet de l'exploiter rapidement...

  7. #7
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 963
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 963
    Points : 27 040
    Points
    27 040
    Par défaut
    Oui, le protocole est censé ne plus être utilisé depuis longtemps aussi.

    Comme IE6, ou XP qui sont de vrai passoires en matière de sécurité, censé ne plus être utilisé non plus
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  8. #8
    Membre du Club Avatar de Tryp'
    Homme Profil pro
    Inscrit en
    novembre 2008
    Messages
    48
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bas Rhin (Alsace)

    Informations forums :
    Inscription : novembre 2008
    Messages : 48
    Points : 53
    Points
    53
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Tu as lu l'article ? Le logiciel en question est apparu il y a à peine 3 semaines.
    Je parlais en effet de la faille bien entendu, et non pas du logiciel.

    Citation Envoyé par sevyc64 Voir le message
    Oui, le protocole est censé ne plus être utilisé depuis longtemps aussi.

    Comme IE6, ou XP qui sont de vrai passoires en matière de sécurité, censé ne plus être utilisé non plus
    Oui, du coup on peut se permettre de ne rien corriger, même si beaucoup d'utilisateurs sont encore sur ces systèmes. Maintenant, pourquoi ces personnes restent-elles sur XP ou IE6 ? Il suffit de voir le prix de la licence Windows à mon avis. L'évolution de la technologie (et donc de la sécurité) contre du blé, sympa (bien que IE sur XP peut quand même être upgradé...).

    Cependant, je ne connais pas assez les protocoles de tunneling pour en parler vraiment, je ne sais pas par exemple si passer de l'un à l'autre est réellement simple ou bien s'il faut y consacrer beaucoup de temps, ou encore si cela inclue l'achat d'une licence, etc.

    Aussi, quand est apparu le nouveau protocole PEAP ? Quand le protocole MS-CHAPv2 a-t-il été déclaré obsolète ? Sachant qu'une faille a été découverte dès 1999.

    Merci pour les réponses concernant WPA2, c'est également ce que j'avais compris mais je n'étais pas certain.

  9. #9
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 963
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 963
    Points : 27 040
    Points
    27 040
    Par défaut
    Citation Envoyé par Tryp' Voir le message
    Maintenant, pourquoi ces personnes restent-elles sur XP ou IE6 ? Il suffit de voir le prix de la licence Windows à mon avis.
    LE fameux argument bidon qui ressort chaque fois. Depuis octobre 2009, toutes les machines (ou presque) sont vendues avec une licence W7 OEM inclue dans le prix. Cette licence là ne coute rien, par contre ça coute du temps et théoriquement aussi une licence XP pour downgrader une machine achetée avec W7 OEM vers XP non OEM pour le coup.

    Donc au prix de la licence Windows, si tu fais les comptes, ça coute plus cher de rester en XP.


    Citation Envoyé par Tryp' Voir le message
    (bien que IE sur XP peut quand même être upgradé...).
    Oui en IE7 depuis fin 2006, en IE8 depuis fin 2009.
    Pourquoi rester en IE6 ? la liste des arguments avancés est longue, tous aussi bidon les uns que les autres.

    Personnellement, de toutes les discussions, de tous les débats que j'ai pu avoir sur les raisons de rester en IE6 et XP, et avec des professionnels de l'informatique ou des responsables et dirigeants en entreprise, je n'ai pas encore entendu un argument défendable pour garder IE6. Il y a quelques cas rares pour garder XP, mais rien qui, je pense ne peut être résolu, en creusant un peu, avec les modes de compatibilité d’exécution de W7, voire le XPmode.


    Mais je peux te dire qu'une entreprise qui perd la moitié de ses données et quelques secrets de fabrications à cause d'une faille de XP ou de IE6, il lui faut pas des semaines pour décider d'une migration.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  10. #10
    Membre du Club Avatar de Tryp'
    Homme Profil pro
    Inscrit en
    novembre 2008
    Messages
    48
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bas Rhin (Alsace)

    Informations forums :
    Inscription : novembre 2008
    Messages : 48
    Points : 53
    Points
    53
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    LE fameux argument bidon qui ressort chaque fois. Depuis octobre 2009, toutes les machines (ou presque) sont vendues avec une licence W7 OEM inclue dans le prix. Cette licence là ne coute rien, par contre ça coute du temps et théoriquement aussi une licence XP pour downgrader une machine achetée avec W7 OEM vers XP non OEM pour le coup.
    Argument bidon ? Déjà, je ne parle pas de downgrader une machine W7 vers une XP, je confirme que ce serait débile. Déjà, tout le monde n'achète pas de nouvelles machines tous les 3 ans (particuliers et professionnels), donc la licence OEM incluse dans le prix de vente, nada.

    Après je ne te contredis pas sur le fait qu'il est nécessaire d'évoluer d'XP vers W7, mais d'un point de vue financier, les coûts immédiats sont plutôt importants, que ce soit une licence W7 simple pour un particulier ou un renouvellement d'un parc de machines dans le milieu professionnel.

    Dans une entreprise, cela doit apeurer les décisionnaires, voilà tout. Après, avec une étude poussée démontrant clairement qu'XP fera au final perdre plus d'argent (et peut-être même du savoir-faire, tu as raison) qu'une migration vers W7, le choix sera peut-être plus facilité, et encore. Mais pour un particulier... soit il s'intéresse à l'informatique, comprend les failles d'XP et a les moyens d'acheter une licence W7, soit il télécharge une version piratée, soit il attend un futur achat d'ordinateur pour passer sur W8. Du moins, c'est mon avis.

    Citation Envoyé par sevyc64 Voir le message
    Oui en IE7 depuis fin 2006, en IE8 depuis fin 2009.
    Pourquoi rester en IE6 ? la liste des arguments avancés est longue, tous aussi bidon les uns que les autres.
    Je ne dis pas le contraire, ça ne me semble pas responsable de maintenir une version IE6 alors que la 8 est inclue dans XP.


    Enfin bref, nous dévions beaucoup du sujet d'origine là.

  11. #11
    Membre du Club
    Profil pro
    Inscrit en
    décembre 2004
    Messages
    49
    Détails du profil
    Informations personnelles :
    Localisation : France, Isère (Rhône Alpes)

    Informations forums :
    Inscription : décembre 2004
    Messages : 49
    Points : 59
    Points
    59
    Par défaut
    Il est clair que le MS-CHAP V2 doit encore être largement utilisé dans nombre de tunnels PPTP de part le monde.

    Mais est-ce si facile de passer à PEAP ? Nombre de clients PPTP (par exemple sous Android ou iOS) ne doivent pas supporter ce protocole.

    Par ailleurs à ce jour je ne suis jamais parvenu à faire fonctionner un tunnel avec PEAP entre un client Win7SP1 et un serveur Win2008R2 SP1.

  12. #12
    Membre chevronné
    Avatar de Pelote2012
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mars 2008
    Messages
    919
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2008
    Messages : 919
    Points : 1 792
    Points
    1 792
    Billets dans le blog
    2
    Par défaut
    a la sécurité...

    Mais ce que j'aime bien, c'est la mise à dispo en open pour tester la faille.
    Maintenant si microsoft demande de passer sur des protocoles plus sécurisé... pourquoi il ne met pas à dispo et à prix réduit des outils pour le faire.

    Cela revient sinon à dire : voilà il y a 2 ans on a fait une bouse. Surtout ne pas utiliser les outils qui le montre (comme si une personne extérieure n'essaira pas) nous nous refusons de corriger car le boulot sur lequel on s'est basé est une bouse aussi. Par contre venez acheter notre nouvelle bouse (et rendez-vous dans 2 ans)
    Si débugger est l'art d'enlever les bugs ... alors programmer est l'art de les créer

Discussions similaires

  1. Office : Microsoft met en garde contre les Macro-Malwares
    Par Amine Horseman dans le forum Microsoft Office
    Réponses: 7
    Dernier message: 07/01/2015, 22h05
  2. Réponses: 28
    Dernier message: 09/12/2013, 12h53
  3. Réponses: 20
    Dernier message: 12/09/2011, 21h52
  4. Réponses: 0
    Dernier message: 08/09/2011, 23h39
  5. Réponses: 1
    Dernier message: 03/01/2011, 14h41

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo