Blog officiel
해리슨 블로그

Découverte d'une faille critique dans le protocole RADIUS vieux de 30 ans

Création: 2024-07-13

Création: 2024-07-13 14:34

Découverte d'une faille critique dans le protocole RADIUS vieux de 30 ans : la vulnérabilité BlastRADIUS

Une faille de sécurité grave a été découverte dans le protocole RADIUS, qui était au cœur de l'authentification réseau. Cette faille, qui était cachée depuis 30 ans, a été baptisée « BlastRADIUS ». Mais pourquoi cette faille est-elle restée indétectée pendant si longtemps ?

Qu'est-ce que RADIUS ?

RADIUS est l'acronyme de « Remote Authentication Dial-In User Service ». Il s'agit d'un protocole qui authentifie les utilisateurs qui souhaitent accéder à un réseau et leur attribue des droits d'accès. En termes simples, lorsqu'un utilisateur tente d'accéder à un réseau, RADIUS joue le rôle de gardien en demandant : « Qui êtes-vous ? Avez-vous le droit d'entrer ? »

RADIUS est utilisé dans divers contextes, et l'exemple le plus courant dans notre vie quotidienne est le système d'authentification Wi-Fi des entreprises. Prenons un exemple.

Un Wi-Fi classique permet de se connecter uniquement avec un mot de passe. Cependant, dans ce cas, n'importe qui connaissant le mot de passe peut se connecter, ce qui rend le système vulnérable aux intrusions. De plus, il est impossible de savoir avec certitude qui s'est connecté et à quel moment.

En revanche, le système Wi-Fi d'entreprise utilisant RADIUS est différent. Les employés se connectent au Wi-Fi avec leur identifiant et leur mot de passe d'entreprise uniques. Le serveur RADIUS vérifie ces informations et n'autorise l'accès au réseau qu'aux utilisateurs authentifiés. Ainsi, on peut savoir exactement qui s'est connecté au réseau et à quel moment, et la sécurité est renforcée.

En particulier, les grandes entreprises utilisent davantage ce type de système, car il permet à des centaines, voire des milliers d'employés de se connecter en toute sécurité au réseau avec leur propre compte.

Bien entendu, RADIUS est utilisé non seulement pour le Wi-Fi d'entreprise, mais aussi dans divers autres contextes :

1. Fournisseurs d'accès Internet (FAI) : Authentification des clients lors de leur connexion à Internet
2. VPN : Utilisé pour permettre aux utilisateurs distants de se connecter en toute sécurité au réseau d'entreprise
3. Points d'accès Wi-Fi publics : Authentification des utilisateurs et gestion des connexions
4. Réseaux mobiles : Authentification des smartphones lors de leur connexion à un réseau cellulaire

RADIUS offre une méthode d'authentification centralisée qui permet aux administrateurs de contrôler efficacement l'accès d'un grand nombre d'utilisateurs. Or, un problème majeur a été découvert dans ce système pourtant crucial.

Contexte de la faille

Le protocole RADIUS a été conçu en 1991. À cette époque, l'environnement réseau et les concepts de sécurité étaient très différents de ce qu'ils sont aujourd'hui. C'est pourquoi RADIUS a été conçu sur la base d'UDP. UDP est rapide, mais moins sécurisé que les protocoles de sécurité modernes comme TLS.

Contenu de la faille

BlastRADIUS (CVE-2024-3596) exploite une attaque par collision MD5. MD5 est également une fonction de hachage apparue au début des années 90. Cependant, au fil du temps, les faiblesses de MD5 sont apparues. Les attaquants peuvent l'utiliser pour manipuler la réponse du serveur RADIUS. En conséquence, ils peuvent contourner l'authentification et obtenir des privilèges élevés.

Il est important de souligner la vulnérabilité critique de MD5. Aujourd'hui, les systèmes utilisant MD5 sont considérés comme très peu sûrs dans le secteur de la sécurité, car MD5 est trop facile à casser. De manière surprenante, il est désormais possible de casser un hachage MD5 en moins d'une minute. Cela signifie que les systèmes utilisant MD5 peuvent être piratés en temps réel.

Pour cette raison, les systèmes de mots de passe modernes ont évolué de MD5 vers SHA-1, SHA-2 et SHA-3. Il est désormais rare de trouver des systèmes utilisant MD5 dans des contextes critiques en matière de sécurité. Cependant, le fait que RADIUS utilise toujours MD5 est très préoccupant.

Portée de l'impact

RADIUS est un élément essentiel des communications modernes et des réseaux d'entreprise. Comme mentionné précédemment, il est utilisé non seulement dans les systèmes Wi-Fi d'entreprise, mais aussi chez les FAI, les Wi-Fi publics, les réseaux mobiles et les appareils IoT, etc. La portée de cette faille peut donc être très étendue.

Solutions

Les chercheurs recommandent d'abandonner complètement RADIUS/UDP. Ils proposent de migrer vers RADIUS over TLS (RADSEC). L'adoption d'une approche multi-sauts et l'isolement du trafic RADIUS du réseau Internet public sont également recommandés.

BlastRADIUS est un exemple typique d'« erreur de conception » qui est devenue une faille de sécurité avec le temps. En particulier, l'utilisation continue de technologies de cryptage obsolètes telles que MD5 est un problème majeur. Cela montre que les protocoles de sécurité doivent être mis à jour en permanence en fonction de l'évolution de la technologie. Jusqu'à présent, aucun cas d'attaque réelle exploitant cette faille n'a été signalé. Cependant, compte tenu des risques potentiels, une réaction rapide est nécessaire. En particulier, les fabricants d'équipements réseau et les administrateurs doivent agir rapidement.

Sujet

  • #RADIUS
  • #Authentification réseau
  • #BlastRADIUS
  • #Collision MD5
  • #Vulnérabilité de sécurité

Commentaires0