Une faille de sécurité a été découverte dans le protocole RADIUS, largement utilisé pour l'authentification réseau. Baptisée Blast-RADIUS, cette vulnérabilité permet à des attaquants de contourner l'authentification et d'accéder illégalement à divers systèmes et réseaux. Des correctifs sont en cours de déploiement.
« Je vous parle d'un temps que les moins de vingt ans ne peuvent pas connaître » pourrait parfaitement illustrer cette faille qui exploite RADIUS. Maintenant que vous avez ce ver d'oreille bien coincé dans la tête, plongeons dans la faille de ce protocole, découverte par une équipe de chercheurs.
RADIUS est un vieux système d'authentification qui équipe encore de nombreux réseaux dans le monde. Et sa vulnérabilité, nommée Blast-RADIUS, permet à un attaquant de s'octroyer des accès illégitimes à toute une gamme de systèmes : réseaux d'entreprise, équipements industriels, services de télécommunications… La liste est comme un dimanche de fiançailles : longue.
Ironie de l'histoire, RADIUS est un protocole à la trentaine bien sonnée, conçu à une époque où la sécurité informatique n'était pas la priorité. Pourtant, il reste massivement déployé, y compris dans des infrastructures critiques. De quoi nous inquiéter, d'autant plus que nous l'utilisons au quotidien, nous, internautes lambda.
RADIUS, un dinosaure toujours d'actualité
Le protocole RADIUS (Remote Authentication Dial-In User Service) a été développé en 1991. À l'origine, il servait à authentifier les connexions à distance avec le réseau téléphonique. Malgré son âge, RADIUS reste aujourd'hui le standard qui fait autorité pour l'authentification légère sur de nombreux réseaux.
On le retrouve dans une multitude d'applications : accès VPN, connexions internet des fournisseurs d'accès, authentification Wi-Fi, itinérance et déchargement de données mobiles… RADIUS est même utilisé pour sécuriser l'accès à des infrastructures critiques. Le protocole est supporté par la quasi-totalité des équipements réseau (commutateurs, routeurs, points d'accès) vendus ces 20 dernières années.
Comment expliquer une telle longévité ? RADIUS offre une solution simple et légère pour centraliser l'authentification, l'autorisation et la comptabilité des connexions. Il permet une interaction fluide entre les clients (généralement des routeurs ou autres équipements d'accès) et un serveur RADIUS central qui gère les politiques d'accès. Cette simplicité a longtemps primé sur les considérations de sécurité moderne. C'est bien connu : c'est dans les vieux pots qu'on fait les meilleures confitures.
Blast-RADIUS : une attaque sophistiquée aux conséquences graves
L'attaque Blast-RADIUS exploite une faiblesse dans l'utilisation que fait RADIUS de la fonction de hachage MD5 (hash en anglais), considérée comme obsolète depuis des années. Les chercheurs ont réussi à combiner une vulnérabilité du protocole avec une attaque par collision sur MD5 pour contourner l'authentification.
Concrètement, un attaquant positionné entre le client et le serveur RADIUS peut intercepter une requête d'authentification légitime, la modifier et renvoyer une fausse réponse positive. Le client croit alors que le serveur a validé la connexion et accorde l'accès. Cette technique permet à l'attaquant d'obtenir des privilèges élevés sur le réseau ciblé.
Les chercheurs recommandent plusieurs mesures pour se protéger :
- Mettre à jour rapidement les implémentations RADIUS ;
- Activer l'attribut Message-Authenticator sur tous les paquets ;
- Utiliser RADIUS sur un canal chiffré comme TLS à long terme.
Ils mettent également à disposition une FAQ détaillée sur leur site consacré à la découverte de Blast-RADIUS, Blastradius.fail, que vous trouverez à la fin de cet article. On y trouve des informations sur la détection d'éventuelles attaques et des conseils d'atténuation pour les administrateurs.
L'équipe souligne que la solution définitive passe par l'abandon de RADIUS au profit de protocoles modernes. Facile à dire.
Sources : Ars Technica, Blastradius.fail