Apparu en 1991, le protocole Radius est couramment utilisé de nos jours dans les entreprises pour permettre l’authentification et l’autorisation des utilisateurs du réseau informatique. Ainsi, lorsque l’un d’eux décide de se connecter, un serveur Radius vérifie si ses accès sont valides avant d’autoriser la connexion. Mais récemment, une équipe de chercheurs a mis en évidence une faille de sécurité dans le protocole Radius, nommée Blast-RADIUS. Elle pourrait permettre à des pirates informatiques de s’introduire dans un réseau d’entreprise sans posséder les identifiants requis. Voici l’essentiel à savoir au sujet de Blast-RADIUS.
Quelle est cette vulnérabilité Blast-RADIUS dans le protocole Radius ?
Lorsqu’un utilisateur souhaite se connecter à un réseau d’entreprise dont l’accès est contrôlé par un serveur Radius, il doit d’abord s’authentifier. Cette authentification peut se faire de plusieurs façons. En pratique, elle s’effectue souvent à l’aide d’un identifiant et d’un mot de passe.
Le serveur Radius reçoit l’information du périphérique réseau auquel l’utilisateur essaie de se connecter, qu’il s’agisse d’un routeur, d’une borne wifi ou de tout autre équipement. Il vérifie alors que l’utilisateur fait bien partie des personnes autorisées en se référant à sa base de données puis, selon le résultat, il accorde ou non l’accès.
Tout ce processus se déroule au sein du réseau informatique de l’entreprise. La plupart du temps, les informations échangées entre le périphérique sollicité par l’utilisateur et le serveur Radius sont véhiculées en clair via le protocole UDP, après hachage selon un système de cryptographie appelé MD5. Le problème est que MD5 est obsolète et comporte des failles. Il constitue une vulnérabilité pour le protocole Radius.
En effet, un cybercriminel pourrait utiliser les faiblesses de MD5 pour falsifier une réponse du serveur Radius refusant l’accès au réseau à un utilisateur non autorisé pour la transformer en une autorisation d’accès. Ainsi, il serait capable d’accéder discrètement au réseau informatique d’une entreprise sans devoir voler des mots de passe d’utilisateurs et sans réaliser d’attaque de force brute. Il lui suffirait de se placer entre le périphérique et le serveur Radius, puis d’intercepter les échanges de données et de les modifier pour obtenir un feu vert d’accès au réseau. À partir de là, il pourrait prendre le contrôle de l’ensemble du trafic sur le réseau et accéder à des données sensibles. Cette attaque nommée Blast-RADIUS, menée par un groupe de chercheurs, est tout à fait réalisable par un pirate informatique contemporain.
Qui est impacté par cette faille de sécurité ?
L’ensemble des entreprises utilisant le protocole Radius via UDP sont concernées par cette faille dans le protocole Radius. C’est valable quel que soit le mode d’authentification utilisé, comme un nom d’utilisateur et un mot de passe ou tout autre procédé. Même s’il existe d’autres modes de communication entre un périphérique réseau et un serveur Radius, l’UDP reste le plus couramment utilisé, car il a l’avantage d’être rapide.
Les communications basées sur le protocole EAP-TLS, qui n’a pas recours à MD5, ne sont pas concernées par cette faille de sécurité. Cependant, une grande majorité des organisations ayant recours à l’UDP pour les communications Radius, cela en fait autant de victimes potentielles d’une attaque Blast-RADIUS.
Pour subir une attaque, le réseau d’entreprise doit aussi avoir été infiltré par un pirate ‘man-in-the-middle’. En effet, l’attaque Blast-RADIUS ne peut être réalisée que par un intrus positionné entre le périphérique réseau et le serveur Radius. Cette position lui permet d’observer et d’intercepter les échanges du protocole Radius, puis de les modifier pour obtenir l’accès au réseau.
Comment savoir si cette attaque a été exécutée sur mon réseau ?
Pour savoir si Blast-RADIUS a été exécutée sur votre réseau d’entreprise, il faut accéder aux journaux d’évènements du serveur de réponse Radius et du client Radius. Le client Radius est le logiciel exécuté par le périphérique demandant une autorisation d’accès. En comparant les réponses reçues par le client Radius aux réponses envoyées par le serveur, vous devriez détecter toute falsification correspondant à une attaque Blast-RADIUS.
Vous pouvez aussi consulter les données de comptabilisation du serveur Radius pour détecter une activité réseau anormale. Elle pourrait être le signe des agissements d’un pirate infiltré dans votre réseau informatique d’entreprise.
Que faire si cette attaque a été potentiellement utilisée sur mon réseau ?
Si vous détectez une anomalie correspondant à une possible attaque Blast-RADIUS, vous devez d’abord modifier la configuration de votre système d’authentification Radius. Des correctifs ont été publiés pour mettre à niveau les clients et serveurs Radius fonctionnant sur UDP. En particulier, l’ajout d’un authentificateur de message ou Message-Authentificator aux requêtes et réponses Radius/UDP permet de contrer efficacement Blast-RADIUS.
Si votre système informatique a été atteint, un renforcement de la sécurité par une authentification forte et une sensibilisation des utilisateurs sont également indispensables pour retrouver un bon niveau de sécurité.
Citypassenger vous accompagne dans la mise en place de solutions de sécurité pour votre réseau informatique
Citypassenger vous propose la mise en place de solutions de sécurité informatique sur mesure, telles qu’un VPN professionnel ou un pare-feu managé. Quelle que soit la taille de votre entreprise ou la configuration de votre réseau, nous réalisons un audit initial pour faire l’état des lieux de vos besoins en matière de sécurité.
Spécialistes des services virtualisés, nous vous proposons les solutions dont vous avez besoin pour optimiser la sécurité de votre infrastructure informatique et protéger vos données, ainsi que celles de vos clients. Nous vous aidons à mettre en œuvre les moyens nécessaires pour éviter les attaques Blast-RADIUS et adapter la sécurité de votre réseau à vos besoins réels.
Pour en savoir plus, n’hésitez pas à nous contacter. Nous vous proposerons de réaliser un audit de votre réseau informatique et un inventaire de vos besoins, avant de vous orienter vers des solutions efficaces d’amélioration de votre sécurité informatique.
Renforcez la sécurité de votre réseau d'entreprise !
Citypassenger vous accompagne dans le déploiement de solutions réseau performantes.
Bruno DUVAL
CEO Citypassenger
Nous fournissons des outils managés pour la gestion de vos besoins de connectivité digitale