Discussion :

[Hinault Romaric]

Microsoft met en garde contre ChapCrack
un outil open source qui casse la sécurité de MS-CHAP V2 et PPTP utilisés sur les réseaux VPN

Microsoft met en garde contre un problème de sécurité grave dans MS-CHAP V2, pouvant survenir grâce à l’utilisation de l’outil ChapCrack.

MS-CHAP V2 est un système d’authentification développé par Microsoft, utilisé principalement dans le protocole Point-to-Point Tunneling (PPTP). Malgré son âge avancé, il est encore largement disponible dans les réseaux privés virtuels (VPN) actuels.

Depuis 1999, une vulnérabilité avait été découverte au sein du système, permettant des attaques par force brute. MS-CHAP v2 repose sur une combinaison complexe de trois opérations DES (Data Encryption Standard), un algorithme de chiffrement symétrique.

Cette combinaison peut être craquée en essayant l’ensemble des clés de 56 bits DES possibles. Quelle que soit donc la complexité du mot de passe, un serveur un peu spécial peut terminer cette tâche en moins d’une journée en utilisant les réseaux logiques programmables FPGA (Field-programmable gate array).

Lors de la dernière conférence Defcon 20 sur la sécurité qui s’est tenue du 26 au 29 juillet à Las Vegas, un chercheur a publié ChapCrack, un outil permettant de casser le cryptage de toute session PPTP utilisant MS-CHAP V2.

Une fois qu'une session PPTP en cours a été enregistrée par un analyseur de réseau, ChapCrack peut extraire les jetons requis et la clé de sécurité DES qui peut être déchiffrée en moins de 24 heures par le service en ligne spécialisé dans le craquage des mots de passe CloudCracker.com.

Cette clé pourra par la suite être utilisée pour déchiffrer tout le trafic du réseau. Les réseaux Wi-Fi utilisant la norme WPA2 et MS-CHAP v2 sont également vulnérables.

Microsoft n’envisage pas d’apporter une mise à jour de sécurité à MS-CHAP, sous prétexte que la faille est due à des faiblesses cryptographiques connues dans le protocole MS-CHAP 2.

La firme attire néanmoins l’attention des utilisateurs sur les risques de sécurité de cette faille, et recommande aux administrateurs d’utiliser le protocole PEAP (Protected Extensible Authentication Protocol) pour sécuriser les mots de passe des sessions VPN. Les entreprises peuvent à défaut migrer vers une technologie VPN sécurisée comme l'IPSec ou l'OpenVPN.

ChapCrack est disponible sous une licence open source sur GitHub.

Télécharger ChapCrak sur GitHub



Source : Microsoft


Et vous ?

Votre réseau VPN repose-t-il encore sur PPTP ? Qu'en pensez-vous ?

[Tryp']

La blague, Microsoft prévient qu'un logiciel est capable d'exploiter une faille dans leur système ; faille découverte il y a 13 ans. Ils auraient pu attendre encore un peu, non ?

Cette clé pourra par la suite être utilisée pour déchiffrer tout le trafic du réseau. Les réseaux Wi-Fi utilisant la norme WPA2 et MS-CHAP v2 sont également vulnérables.

Par contre, je ne suis pas sûr de bien comprendre ce qui est relatif à WPA2. Il faut avoir réussi à casser la clé DES d'une session PPTP pour pouvoir enfin craquer le réseau sans fil ou bien cette faille affecte directement le protocole WPA2 ? Si quelqu'un est capable de m'éclairer...

[signix]

D'après le github (https://github.com/moxie0/chapcrack) c'est plutot que les VPN MS-CHAP reposant sur PPTP et WPA2 sont vulnérables.
Bonne lecture

[sevyc64]

La blague, Microsoft prévient qu'un logiciel est capable d'exploiter une faille dans leur système ; faille découverte il y a 13 ans. Ils auraient pu attendre encore un peu, non ?

Tu as lu l'article ? Le logiciel en question est apparu il y a à peine 3 semaines.

[TheGuit]

Tu as lu l'article ? Le logiciel en question est apparu il y a à peine 3 semaines.

Oui enfin la faille existe depuis très longtemps, juste là y a un logiciel qui permet de l'exploiter rapidement...

[sevyc64]

Oui, le protocole est censé ne plus être utilisé depuis longtemps aussi.

Comme IE6, ou XP qui sont de vrai passoires en matière de sécurité, censé ne plus être utilisé non plus

[Tryp']

Tu as lu l'article ? Le logiciel en question est apparu il y a à peine 3 semaines.

Je parlais en effet de la faille bien entendu, et non pas du logiciel.

Oui, le protocole est censé ne plus être utilisé depuis longtemps aussi.

Comme IE6, ou XP qui sont de vrai passoires en matière de sécurité, censé ne plus être utilisé non plus

Oui, du coup on peut se permettre de ne rien corriger, même si beaucoup d'utilisateurs sont encore sur ces systèmes. Maintenant, pourquoi ces personnes restent-elles sur XP ou IE6 ? Il suffit de voir le prix de la licence Windows à mon avis. L'évolution de la technologie (et donc de la sécurité) contre du blé, sympa (bien que IE sur XP peut quand même être upgradé...).

Cependant, je ne connais pas assez les protocoles de tunneling pour en parler vraiment, je ne sais pas par exemple si passer de l'un à l'autre est réellement simple ou bien s'il faut y consacrer beaucoup de temps, ou encore si cela inclue l'achat d'une licence, etc.

Aussi, quand est apparu le nouveau protocole PEAP ? Quand le protocole MS-CHAPv2 a-t-il été déclaré obsolète ? Sachant qu'une faille a été découverte dès 1999.

Merci pour les réponses concernant WPA2, c'est également ce que j'avais compris mais je n'étais pas certain.

[TheGuit]

Pour WPA2 c'est qu'il existe des mécanisme d'authentification pour entreprise reposant sur MS-CHAP2 donc je pense que ce sont ceux qui sont vulnérable.

[yuan]

Il est clair que le MS-CHAP V2 doit encore être largement utilisé dans nombre de tunnels PPTP de part le monde.

Mais est-ce si facile de passer à PEAP ? Nombre de clients PPTP (par exemple sous Android ou iOS) ne doivent pas supporter ce protocole.

Par ailleurs à ce jour je ne suis jamais parvenu à faire fonctionner un tunnel avec PEAP entre un client Win7SP1 et un serveur Win2008R2 SP1.

[Pelote2012]

a la sécurité...

Mais ce que j'aime bien, c'est la mise à dispo en open pour tester la faille.
Maintenant si microsoft demande de passer sur des protocoles plus sécurisé... pourquoi il ne met pas à dispo et à prix réduit des outils pour le faire.

Cela revient sinon à dire : voilà il y a 2 ans on a fait une bouse. Surtout ne pas utiliser les outils qui le montre (comme si une personne extérieure n'essaira pas) nous nous refusons de corriger car le boulot sur lequel on s'est basé est une bouse aussi. Par contre venez acheter notre nouvelle bouse (et rendez-vous dans 2 ans)