Cette mise en garde de sécurité est la réaction de Microsoft à la divulgation il y a quelques semaines par Moxie Marlinspike lors de la conférence Defcon, d'une faille de sécurité non négligeable. Dans un billet de blog écrit peu de temps après son discours lors de la Defcon, Moxie Marlinspike a expliqué son intérêt pour MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2). "Même si c'est un protocole vieillissant comprenant des failles connues, il est encore grandement utilisé", a écrit Moxie Marlinspike. "Ces failles sont flagrantes dans les VPN PPTP, utilisées massivement dans les environnements d'entreprise WPA2" a-t-il poursuivi.
Dans le même temps et pour appuyer ses dires, le chercheur avait publié "Chapcrack», un outil permettant d'analyser les données de mots de passe chiffrés avec MS-CHAP v2, puis de les décoder en utilisant le service CloudCracker. La réaction de Microsoft ne s'était alors pas faite attendre: "Un pirate qui parviendrait à exploiter ces faiblesses cryptographiques pourrait obtenir des informations d'identification sur ses utilisateurs", indiquait l'alerte de lundi.
"Pas de mise à jour de sécurité" du côté de Microsoft
Pour utiliser Chapcrack, un pirate doit d'abord parvenir à capturer des paquets de données transmises sur un réseau VPN ou WiFi gratuit. Le scénario le plus probable: le spoofing d'un hotspot sans fil légitime, par exemple dans un aéroport. Pour autant, Microsoft ne compte pas diffuser de mise à jour de sécurité. "Ce n'est pas une faille de sécurité qui impose à Microsoft de publier une mise à jour". "Ce problème est dû à des faiblesses cryptographiques connues dans le protocole MS-CHAP v2 et est abordé à travers la mise en oeuvre des changements de configuration", a déclaré la firme.
Au lieu de cela, Microsoft recommande donc aux administrateurs informatiques d'utiliser le protocole PEAP (Protected Extensible Authentication Protocol) afin de sécuriser les mots de passe des sessions VPN. Un document décrit par ailleurs comment configurer les serveurs et les clients pour PEAP.
Comme le note Moxie Morlinspike, MS-CHAP v2, qui remonte à Windows NT Service Pack 4 et Windows 98, a été déjà été pointé du doigt pour sa précarité et ce depuis des années, principalement à cause de sa vulnérabilité aux attaques "dictionnaire".