L'analyse de Microsoft PPTP Version 2

Counterpane Labs et L0pht Heavy Industries

 

Le document complet se trouve à l'adresse http://www.schneier.com/paper-pptpv2.html. Les détails ci-dessous.

En 1998, Bruce Schneier et Mudge ont distribué une analyse de Microsoft PPTP. Nous avons trouvé des failles sérieuses dans les domaines suivants:

  • le hachage du mot de passe -- des algorithmes faibles qui permettent d'apprendre le mot de passe de l'utilisateur par mise sur écoute
  • protocole d'épreuve/réponse d'authentification -- un défaut de conception permet à un attaquant de se faire passer pour le serveur
  • chiffrement -- des erreurs d'implémentation rendent possible la récupération des données chiffrées
  • clef de chiffrement -- des mots de passe communs produisent des clés brisables, même avec un chiffrement de 128 bits
  • canal de contrôle -- des messages non-authentifiés permettent à des attaquants de faire planter les serveurs PPTP

Les détails de l'analyse de 1998 sont dans notre annonce à la presse et dans la FAQ.

Depuis notre analyse, Microsoft a distribué une mise à jour du protocole. Celle-ci est disponible pour Windows 95, Windows 98 et Windows NT comme DUN 1.3. Microsoft a réalisé les améliorations suivantes au protocole:

  • Le hachage faible LAN Manager n'est plus transmis en même temps que le hachage Windows NT plus fort. Ceci afin d'éviter que des casseurs automatiques de mots de passe, comme L0phtcrack (http://www.l0pht.com/l0phtcrack) ne cassent le premier hachage et d'utiliser l'information obtenue pour casser le hachage plus fort Windows NT.
  • Un système d'authentification pour le serveur a été introduit, afin d'empêcher des serveurs malicieux de se faire passer pour des utilisateurs légitimes.
  • Les paquets d'échange de mots de passe de MS-CHAPv1 ont été remplacés par un unique paquet d'échange dans MS-CHAPv2. Ceci afin d'empêcher l'attaque active de détournement (spoofing) des paquets d'échec de MS-CHAP.

MPPE utilise des clefs uniques dans chaque direction, afin d'empêcher l'attaque cryptanalytique triviale du XOR de chaque flux dans chaque direction qui supprime les effets du chiffrement.

Le logiciel est plus robuste contre les attaques de dénégation de service, et que laisse plus filtrer autant d'information au sujet de son état.

Ces changements corrigent les faiblesses majeures du protocole originel. Toutefois, le protocole révisé est toujours vulnérable à des attaques hors-ligne visant à deviner le mot de passe par des outils comme L0phtcrack. Actuellement, nous ne recommandons pas Microsoft PPTP pour des applications où la sécurité est un facteur d'importance.


Couverture par la presse du cassage de PPTP version 1:
EE Times
Wired.com
ZDNet
CNet News.com
Droits déposés Bruce Schneier 1999

Photo of Bruce Schneier by Per Ervland.

Schneier on Security is a personal website. Opinions expressed are not necessarily those of Co3 Systems, Inc..