Une faille critique découverte dans le protocole RADIUS vieux de 30 ans : la vulnérabilité BlastRADIUS

Une faille grave a été découverte dans le protocole RADIUS, qui était au cœur de l'authentification réseau. Cette faille, qui est restée cachée pendant 30 ans, a été nommée "BlastRADIUS". Mais pourquoi cette faille est-elle restée si longtemps indétectée ?

Qu'est-ce que RADIUS ?

RADIUS est l'acronyme de "Remote Authentication Dial-In User Service". Il s'agit d'un protocole qui authentifie les utilisateurs qui tentent d'accéder à un réseau et leur attribue des droits d'accès. En d'autres termes, il joue le rôle de portier qui vérifie "Qui êtes-vous ? Pouvez-vous entrer ?" lorsque les utilisateurs tentent d'accéder au réseau.

RADIUS est utilisé dans divers domaines, et l'exemple le plus courant que nous rencontrons dans notre vie quotidienne est le système d'authentification Wi-Fi des entreprises. Prenons un exemple.

Un Wi-Fi standard peut être utilisé par quiconque connaît le mot de passe. Cependant, dans ce cas, n'importe qui connaissant le mot de passe peut se connecter, ce qui rend le système vulnérable aux problèmes de sécurité. De plus, il est impossible de savoir exactement qui a accédé au réseau et quand.

En revanche, le système Wi-Fi d'entreprise qui utilise RADIUS est différent. Les employés se connectent au Wi-Fi à l'aide de leur identifiant de société et de leur mot de passe uniques. Le serveur RADIUS vérifie ces informations et n'autorise l'accès au réseau que pour les utilisateurs authentifiés. Cela permet de savoir exactement qui a accédé au réseau et à quel moment, ce qui renforce la sécurité.

En particulier, les grandes entreprises utilisent davantage ce type de système, car il permet à des centaines, voire des milliers d'employés, de se connecter au réseau en toute sécurité à l'aide de leur propre compte.

Bien sûr, RADIUS est utilisé dans d'autres domaines que le Wi-Fi d'entreprise :

1. Fournisseur d'accès à Internet (FAI) : Authentification lors de la connexion d'un client à Internet
2. VPN : Utilisé pour permettre aux utilisateurs distants de se connecter en toute sécurité au réseau de l'entreprise
3. Points d'accès Wi-Fi publics : Authentification et gestion des connexions des utilisateurs
4. Réseau mobile : Authentification lorsque les smartphones se connectent au réseau cellulaire

RADIUS fournit un mécanisme d'authentification centralisé qui permet aux administrateurs de contrôler efficacement l'accès de nombreux utilisateurs. Mais il s'avère qu'un problème grave a été découvert dans ce protocole essentiel.

Contexte de la vulnérabilité

Le protocole RADIUS a été conçu en 1991. Les environnements réseau et les concepts de sécurité de l'époque étaient très différents de ceux d'aujourd'hui. C'est pourquoi RADIUS a été conçu sur la base de l'UDP. L'UDP est rapide mais moins sécurisé que les protocoles de sécurité modernes comme TLS.

Contenu de la vulnérabilité

BlastRADIUS (CVE-2024-3596) exploite une attaque par collision MD5. MD5 est également une fonction de hachage apparue au début des années 90. Cependant, au fil du temps, les failles de MD5 sont apparues. Les attaquants peuvent les exploiter pour manipuler les réponses du serveur RADIUS. En conséquence, il est possible de contourner l'authentification et d'obtenir des privilèges élevés.

Il est important de noter la vulnérabilité grave de MD5. Aujourd'hui, dans le secteur de la sécurité, les systèmes utilisant MD5 sont considérés comme très vulnérables. En effet, MD5 est très facile à casser. Il est étonnant de constater que, récemment, il est devenu possible de casser un hachage MD5 en moins d'une minute. Cela signifie que les systèmes utilisant MD5 peuvent être piratés en temps réel.

Pour ces raisons, les systèmes de mot de passe modernes ont évolué de MD5 vers SHA-1, SHA-2 et SHA-3. Aujourd'hui, il est presque impossible de trouver des systèmes importants qui utilisent MD5. Le fait que RADIUS utilise toujours MD5 est extrêmement préoccupant.

Portée de l'impact

RADIUS est un élément clé des communications modernes et des réseaux d'entreprise. Il est utilisé dans presque tous les domaines, des systèmes Wi-Fi d'entreprise aux FAI, aux Wi-Fi publics, aux réseaux mobiles et aux équipements IoT. Par conséquent, les conséquences de cette faille peuvent être très vastes.

Mesures correctives

Les chercheurs recommandent l'abandon complet de RADIUS/UDP. Ils proposent de passer à RADIUS over TLS (RADSEC). Ils recommandent également d'introduire un mode multi-sauts et d'isoler le trafic RADIUS du réseau public.

BlastRADIUS est un exemple typique d'une "erreur de conception" qui a fini par devenir une faille de sécurité. Le fait d'utiliser des technologies de cryptage obsolètes comme MD5 est particulièrement problématique. Cela montre que les protocoles de sécurité doivent être mis à jour en permanence en fonction de la vitesse de l'évolution technologique. À ce jour, aucun cas d'attaque réelle exploitant cette faille n'a été signalé. Toutefois, compte tenu du risque potentiel, il est nécessaire de réagir rapidement. Il est crucial que les fabricants d'équipements réseau et les administrateurs prennent des mesures rapides.