CLUBIC 🔵 Accès VPN, internet ou Wi-Fi, le très vieux protocole RADIUS est utilisĂ© pour propager le malware Blast-RADIUS – Shango Media
HighTech-FRNews-FRONT-FR

CLUBIC 🔵 Accès VPN, internet ou Wi-Fi, le très vieux protocole RADIUS est utilisé pour propager le malware Blast-RADIUS

CLUBIC 🔵 Accès VPN, internet ou Wi-Fi, le très vieux protocole RADIUS est utilisé pour propager le malware Blast-RADIUS
Si vous n'avez jamais utilisé ce téléphone, alors vous êtes plus jeune que RADIUS © Yuri A / Shutterstock
Si vous n’avez jamais utilisĂ© ce tĂ©lĂ©phone, alors vous ĂŞtes plus jeune que RADIUS © Yuri A / Shutterstock

Une faille de sĂ©curitĂ© a Ă©tĂ© dĂ©couverte dans le protocole RADIUS, largement utilisĂ© pour l’authentification rĂ©seau. BaptisĂ©e Blast-RADIUS, cette vulnĂ©rabilitĂ© permet Ă  des attaquants de contourner l’authentification et d’accĂ©der illĂ©galement Ă  divers systèmes et rĂ©seaux. Des correctifs sont en cours de dĂ©ploiement.

« Je vous parle d’un temps que les moins de vingt ans ne peuvent pas connaĂ®tre Â» pourrait parfaitement illustrer cette faille qui exploite RADIUS. Maintenant que vous avez ce ver d’oreille bien coincĂ© dans la tĂŞte, plongeons dans la faille de ce protocole, dĂ©couverte par une Ă©quipe de chercheurs.

RADIUS est un vieux système d’authentification qui Ă©quipe encore de nombreux rĂ©seaux dans le monde. Et sa vulnĂ©rabilitĂ©, nommĂ©e Blast-RADIUS, permet Ă  un attaquant de s’octroyer des accès illĂ©gitimes Ă  toute une gamme de systèmes : rĂ©seaux d’entreprise, Ă©quipements industriels, services de tĂ©lĂ©communications… La liste est comme un dimanche de fiançailles : longue.

Ironie de l’histoire, RADIUS est un protocole Ă  la trentaine bien sonnĂ©e, conçu Ă  une Ă©poque oĂą la sĂ©curitĂ© informatique n’Ă©tait pas la prioritĂ©. Pourtant, il reste massivement dĂ©ployĂ©, y compris dans des infrastructures critiques. De quoi nous inquiĂ©ter, d’autant plus que nous l’utilisons au quotidien, nous, internautes lambda.

RADIUS, un dinosaure toujours d’actualitĂ©

Le protocole RADIUS (Remote Authentication Dial-In User Service) a Ă©tĂ© dĂ©veloppĂ© en 1991. Ă€ l’origine, il servait Ă  authentifier les connexions Ă  distance avec le rĂ©seau tĂ©lĂ©phonique. MalgrĂ© son âge, RADIUS reste aujourd’hui le standard qui fait autoritĂ© pour l’authentification lĂ©gère sur de nombreux rĂ©seaux.

On le retrouve dans une multitude d’applications : accès VPN, connexions internet des fournisseurs d’accès, authentification Wi-Fi, itinĂ©rance et dĂ©chargement de donnĂ©es mobiles… RADIUS est mĂŞme utilisĂ© pour sĂ©curiser l’accès Ă  des infrastructures critiques. Le protocole est supportĂ© par la quasi-totalitĂ© des Ă©quipements rĂ©seau (commutateurs, routeurs, points d’accès) vendus ces 20 dernières annĂ©es.

Comment expliquer une telle longĂ©vitĂ© ? RADIUS offre une solution simple et lĂ©gère pour centraliser l’authentification, l’autorisation et la comptabilitĂ© des connexions. Il permet une interaction fluide entre les clients (gĂ©nĂ©ralement des routeurs ou autres Ă©quipements d’accès) et un serveur RADIUS central qui gère les politiques d’accès. Cette simplicitĂ© a longtemps primĂ© sur les considĂ©rations de sĂ©curitĂ© moderne. C’est bien connu : c’est dans les vieux pots qu’on fait les meilleures confitures.

VPN : quel est le meilleur réseau privé ? Comparatif 2024
A découvrir

VPN : quel est le meilleur réseau privé ? Comparatif 2024

Comparatifs services

Blast-RADIUS : une attaque sophistiquée aux conséquences graves

L’attaque Blast-RADIUS exploite une faiblesse dans l’utilisation que fait RADIUS de la fonction de hachage MD5 (hash en anglais), considĂ©rĂ©e comme obsolète depuis des annĂ©es. Les chercheurs ont rĂ©ussi Ă  combiner une vulnĂ©rabilitĂ© du protocole avec une attaque par collision sur MD5 pour contourner l’authentification.

Concrètement, un attaquant positionnĂ© entre le client et le serveur RADIUS peut intercepter une requĂŞte d’authentification lĂ©gitime, la modifier et renvoyer une fausse rĂ©ponse positive. Le client croit alors que le serveur a validĂ© la connexion et accorde l’accès. Cette technique permet Ă  l’attaquant d’obtenir des privilèges Ă©levĂ©s sur le rĂ©seau ciblĂ©.

Les chercheurs recommandent plusieurs mesures pour se protéger :

  • Mettre Ă  jour rapidement les implĂ©mentations RADIUS ;
  • Activer l’attribut Message-Authenticator sur tous les paquets ;
  • Utiliser RADIUS sur un canal chiffrĂ© comme TLS Ă  long terme.

Ils mettent Ă©galement Ă  disposition une FAQ dĂ©taillĂ©e sur leur site consacrĂ© Ă  la dĂ©couverte de Blast-RADIUS, Blastradius.fail, que vous trouverez Ă  la fin de cet article. On y trouve des informations sur la dĂ©tection d’Ă©ventuelles attaques et des conseils d’attĂ©nuation pour les administrateurs.

L’Ă©quipe souligne que la solution dĂ©finitive passe par l’abandon de RADIUS au profit de protocoles modernes. Facile Ă  dire.

Sources : Ars Technica, Blastradius.fail

Bouton retour en haut de la page
Fermer