A. Les protocoles de contrôle réseau (NCP)
Les protocoles de contrôle réseau sont des
protocoles séparés qui fournissent les informations de
configuration et de contrôle destinées aux protocoles de la couche
réseau. PPP est conçu pour transmettre des données pour
une multitude de protocoles réseau. NCP autorise la personnalisation de
PPP de manière à exécuter uniquement cette tâche.
Chaque protocole de réseau (Decnet, IP, OSI, etc. ...)
possède son propre protocole NCP.
*****Full-duplex : C'est une technologie permettant une
communication effectuée dans deux sens. ******Paquet : c'est l'ensemble
d'informations manipulées dans un réseau.
*******Serveur : c'est un ordinateur sur lequel tourne un
logiciel de gestion d'accès distants. Il fournit également
à d'autres ordinateurs qui s'y connectent des informations et des
ressources
15
B. Les différentes méthodes
d'authentification PPP
y' Le protocole PAP
Le protocole d'authentification par mot de passe (PAP) est une
méthode simple pour établir l'identité du site distant.
Elle est semblable à la procédure login d'une session sur un
serveur*******. Cette procédure est effectuée seulement
après que la liaison ait été établie. Dans le cadre
d'une authentification utilisant le protocole PAP, le client s'authentifie
auprès du serveur en lui envoyant un paquet «
Authentification-Request » contenant l'identité du client et le mot
de passe associé. Le serveur compare ces données à celle
contenu dans son fichier d'authentification.
L'inconvénient de cette technique est que le mot de
passe transite « en clair » sur la liaison.
y' Le protocole CHAP
Dans le cadre de l'utilisation du protocole CHAP, le serveur
envoie au client un paquet contenant un challenge (mot de 16 bits)
défini aléatoirement et son nom. Le client récupère
dans sa table définie localement, à l'aide du nom du serveur, le
secret correspondant. Le client combine le secret approprié avec le
challenge, chiffre ce résultat et le résultat du chiffrement est
retourné au serveur avec le nom du client. Le serveur effectue alors les
mêmes opérations et si les deux résultats sont identiques
la connexion du client est acceptée.
2.2.2.3. Le protocole PPTP
Le protocole PPTP est un protocole de niveau 2 qui encapsule
des trames PPP dans des datagrammes IP afin de les transférer sur un
réseau IP. PPTP permet le chiffrement des données PPP
encapsulées mais aussi leur compression.
Le protocole d'authentification dans Microsoft PPTP est le
protocole d'épreuve/réponse de Microsoft (MS-CHAP) et le
protocole de chiffrement est le chiffrement Point to Point de Microsoft
(MPPE).
********Cryptanalyse : C'est l'ensemble des techniques mises
en oeuvre pour tenter de déchiffrer un message codé dont on ne
connaît pas la clé
16
A l'issue de la cryptanalyse******** de Microsoft PPTP et la
révélation publique de ses faiblesses importantes, Microsoft a
mis à jour ses protocoles. La nouvelle version s'appelle MS-CHAP
version2, l'ancienne version a été renommée MS-CHAP
version1.
Les changements les plus importants de MS-CHAPv1 vers MS-CHAPv2
sont:
? Le hachage faible LAN Manager n'est plus transmis en
même temps que le hachage Windows NT plus fort. Cet envoi en deux temps
permet d'éviter que des casseurs automatiques de mots de passe, comme
Lophtcrack ne cassent le premier hachage et d'utiliser l'information obtenue
pour casser le hachage plus fort Windows NT. En effet, dans MS-CHAPv1, deux
valeurs parallèles de hachage étaient transmises par le client au
serveur : le hachage LAN Manager et le hachage Windows NT : il s'agissait de
deux hachages différents d'un même mot de passe ;
? un système d'authentification pour le serveur a
été introduit, afin d'empêcher des serveurs malicieux de se
faire passer pour des utilisateurs légitimes ;
? les paquets d'échange de mots de passe de MS-CHAPv1
ont été remplacés par un unique paquet d'échange
dans MS-CHAPv2. Ceci afin d'empêcher l'attaque active de
détournement des paquets d'échec de MS-CHAP ;
? le protocole MPPE utilise des clefs uniques dans chaque
direction, afin d'empêcher l'attaque cryptanalytique triviale du XOR de
chaque flux dans chaque direction qui supprime les effets du chiffrement.
Ces changements corrigent les faiblesses majeures de
sécurité du protocole originel : l'inclusion d'une fonction de
hachage LAN Manager et l'utilisation de la même clé de chiffrement
à plusieurs reprises. Toutefois, beaucoup de problèmes de
sécurité restent sans correction, comme par exemple la protection
du client lui-même ou le fait que la clé de chiffrement dispose de
la même entropie que le mot de passe de l'utilisateur ou encore le fait
qu'assez de données soient transmises sur la ligne et permettent
à des attaquants de réaliser des attaques de chiffrement et
comparaison.
17
L'entreprise « Microsoft » n'a visiblement pas
seulement profité de cette opportunité que pour corriger quelques
faiblesses cryptographiques dans leur implémentation de PPTP, mais aussi
pour améliorer la qualité de son code. La nouvelle version est
beaucoup plus robuste contre les attaques de service et ne laisse plus filtrer
d'informations au sujet du nombre de sessions VPN actives.
| 
