TunnelVision : comment une simple manipulation DHCP peut compromettre le trafic VPN

Des chercheurs en sécurité ont mis en lumière une technique permettant d'acheminer le trafic VPN aller et retour en dehors du tunnel chiffré. Baptisée TunnelVision, l'attaque pourrait déjà avoir été découverte et utilisée depuis 2002.

Plus qu'une vulnérabilité, TunnelVision résulte de la manière dont le protocole DHCP, les tables de routage et les VPN s'articulent pour fonctionner de concert. Selon les équipes de recherche de Leviathan Security, la quasi-totalité des fournisseurs de réseau privé virtuels et des systèmes d'exploitation serait concernée par cette faille, que l'on connaît sous le nom CVE-2024-3661.

Possible depuis 2002, l'attaque avait déjà été partiellement documentée par d'autres chercheurs dès 2015, sans jamais faire l'objet d'une communication publique pour autant.

Une attaque qui concerne (presque) tous les systèmes d'exploitation et VPN

Dans le détail, TunnelVision manipule le trafic des réseaux privés virtuels en exploitant des lacunes dans le protocole DHCP (Dynamic Host Configuration Protocol), essentiel pour attribuer automatiquement des adresses IP et autres paramètres de réseau aux dispositifs connectés. Pour être plus précis, c'est l'option DHCP 121, permettant de spécifier des routes statiques supplémentaires aux clients réseau, qui donne la possibilité de conduire l'attaque.

Pour que celle-ci soit réalisable, le pirate doit se trouver sur le même réseau local que la victime ou contrôler le serveur DHCP du réseau. Ce procédé lui permet d'envoyer des réponses DHCP falsifiées incluant des routes statiques malveillantes. Conséquence : le trafic est redirigé en dehors du tunnel chiffré, par un chemin contrôlé par l'attaquant. Sont alors exposées les données de trafic et l'adresse IP réelle de l'internaute, sans que le kill switch puisse jouer son rôle.

Presque tous les VPN, qu'ils soient destinés au grand public ou à un usage d'entreprise, de même que la plupart des systèmes d'exploitation, sont susceptibles d'être affectés par cette faille. Les systèmes Linux pourraient constituer une exception dans certains cas grâce aux espaces de noms (network namespaces) consacrés à la création de conteneurs isolés. Du fait de leur non-prise en charge de l'option 121, les appareils Android échapperaient totalement à l'attaque.

Pas de solution dans l'immédiat, mais des pistes pour atténuer les risques

Au regard de l'intégration profonde du protocole DHCP dans les infrastructures réseau modernes, il n'existe, à l'heure actuelle, aucun moyen de prévenir l'attaque TunnelVision sans compromettre le bon fonctionnement du réseau. Les chercheurs de Leviathan Security évoquent cependant quelques pistes et mesures à adopter pour en atténuer les risques.

En premier lieu, ils appellent les administrateurs réseau à configurer, dans la mesure du possible, les serveurs DHCP pour limiter l'usage de l'option 121 conjointement à l'usage des VPN (manipulation qui pourrait cependant être responsable de problèmes de connexion au réseau), ou pour valider manuellement les routes proposées par les clients DHCP avant de les appliquer. Plus généralement, ils insistent sur l'importance de sensibiliser les internautes sur les risques associés aux réseaux Wi-Fi publics et/ou non sécurisés.

Mais en révélant les détails de cette attaque, les chercheurs de Leviathan Security ont en réalité l'ambition d'alerter les utilisateurs et utilisatrices de réseaux privés virtuels grand public, et de pousser les fournisseurs VPN à renforcer leurs systèmes contre de telles vulnérabilités. Objectif : enjoindre les développeurs de logiciels VPN à intégrer des mécanismes de sécurité supplémentaires, tels que la vérification de l'intégrité des routes de trafic à chaque session et l'intégration de fonctionnalités qui alertent leurs abonnés en cas d'interception suspectée. Combinées à une vigilance constante et à des mises à jour régulières des logiciels, ces mesures constituent la meilleure défense contre les exploits comme TunnelVision.

Source : Leviathan Security