Skip to main content
Est-il vrai que le mode agressif IKEv1 est moins sécuris... - KH1591

Häufig gestellte Fragen

Est-il vrai que le mode agressif IKEv1 est moins sécurisé que le mode principal IKEv1 ?
 

Il y a quelques années, une équipe d'experts en sécurité a publié un article décrivant une attaque qui peut casser une connexion IKEv1 Aggressive Mode avec Pre-Shared Key, mais qui ne pourrait pas être appliquée de la même manière à une connexion IKEv1 Main Mode avec Pre-Shared Key, ce qui a conduit à l'hypothèse erronée que le mode Aggressif est fondamentalement beaucoup moins sécurisé que le mode Main. Cependant, si on examine les faits de manière neutre, cette affirmation n'est pas exacte. Ce que la plupart des gens ignorent, c'est qu'une partie de cette attaque consistait à deviner la Pre-Shared Key (PSK) en utilisant une attaque par force brute et qu'une telle attaque ne peut réussir que si la PSK est choisie de manière peu sûre. Une PSK n'est également qu'un mot de passe et, comme pour tous les mots de passe, des mots de passe faibles conduisent à une faible sécurité. Tant que la PSK comporte au moins 14 caractères (plus il y en a, mieux c'est), est composée de lettres minuscules, de lettres majuscules et de chiffres, et est générée aléatoirement (de sorte qu'elle ne puisse pas être facilement devinée), et tant que le hachage de phase 1 utilise au moins SHA1 (ou mieux, nous recommandons SHA-256 si possible), il n'y a aucune raison d'assumer qu'une connexion Aggressive Mode PSK est fondamentalement moins sécurisée qu'une connexion Main Mode PSK. Si vous voulez être encore plus sûr, choisissez simplement une authentification basée sur un certificat si possible, car cela rend cette attaque impossible dès le départ.

Contexte technique :

La Pre-Shared Key (PSK) n'est pas un mot de passe utilisé pour chiffrer des données, elle sert uniquement à l'authentification, un peu comme lorsqu'un utilisateur se connecte à un site web avec un mot de passe. Pendant la phase 1, les deux parties doivent prouver qu'elles connaissent la PSK. Bien sûr, cela ne peut pas se faire en envoyant simplement le PSK à l'autre partie, car même si l'autre partie ne le connaissait pas auparavant, elle le connaîtrait maintenant. Au lieu de cela, les deux parties doivent calculer un nombre (un hachage), pour lequel elles utilisent à la fois des données qu'elles ont déjà échangées (qui sont différentes à chaque établissement de connexion afin de garantir que la valeur du hachage est également différente à chaque fois) et le PSK. Seul ce hachage est envoyé à l'autre partie, qui doit ensuite effectuer exactement les mêmes calculs. Si elle obtient le même résultat, cela signifie que l'autre partie a également utilisé le même PSK, donc elle le connaît. Le même jeu se répète alors dans l'autre sens, la calculation étant légèrement différente ici pour garantir que les deux valeurs de hachage sont toujours différentes, car renvoyer la même valeur ne prouverait rien.

La différence entre le mode Main et le mode Aggressif est simplement que, en mode Main, la valeur de hachage est transmise chiffrée, car la procédure d'échange de clés (DH Exchange) qui conduit à une clé de session sécurisée des deux côtés a déjà été entièrement exécutée et dès que les deux parties ont une clé de session, tous les paquets sont transmis uniquement chiffrés. Avec le mode Aggressif, la valeur de hachage est transmise non chiffrée, car l'échange de clés n'est pas encore terminé à ce stade. En écoutant une connexion en mode Aggressif, un attaquant peut donc obtenir à la fois la valeur de hachage et toutes les données nécessaires au calcul de cette valeur, à l'exception du PSK réel. Cela ne signifie pas pour autant que l'attaquant a cassé la connexion, il a simplement suffisamment d'informations pour rechercher le PSK, par exemple en utilisant une attaque par force brute (essayer toutes les combinaisons possibles) ou une attaque par dictionnaire (essayer des mots de passe fréquemment choisis qu'il a pu obtenir grâce à des fuites de données). Seul si la PSK est trop faible pour résister à ces attaques peut-on finalement casser la connexion. C'est pourquoi un PSK bon et suffisamment sûr est essentiel à la sécurité d'une connexion VPN PSK.

Cependant, la même attaque est également possible sur une connexion en mode Main, elle nécessite seulement un peu plus d'efforts. Dans le cas du mode Main, il ne suffit pas de pouvoir lire le trafic, mais il faut également effectuer une attaque de type Man-in-the-Middle (MitM), c'est-à-dire qu'un attaquant doit être en mesure d'intercepter et de manipuler le trafic. Grâce à une attaque MitM, un attaquant peut contourner le chiffrement, ce qui ne suffit pas pour accéder au VPN, car la PSK est toujours nécessaire à cet effet, car sans elle la phase 1 ne peut pas être achevée avec succès, mais même dans ce cas, un attaquant aurait la valeur de hachage et toutes les données nécessaires au calcul et pourrait essayer de deviner le PSK de la même manière. Et si un attaquant est déjà capable d'écouter tout le trafic (ce qui est une condition préalable à tout scénario d'attaque), il est très probable qu'il puisse également effectuer une attaque MitM, auquel cas le mode Main n'offre plus aucune protection supplémentaire.

Une PSK composée de 11 caractères alphanumériques aléatoires a une entropie d'environ 64 bits, soit 2^64 valeurs possibles. Les cartes graphiques haut de gamme modernes (en date de 2016) peuvent calculer environ 1 milliard de hachages SHA-265 par seconde. En moyenne, il faut essayer 50 % de toutes les possibilités pour trouver une correspondance, ce qui prendrait 292 ans. Si un attaquant dispose de 100 cartes graphiques, l'attaque ne durerait plus que "environ" 3 ans. Mais même avec 14 caractères, l'entropie est d'environ 80 bits et ici une seule carte graphique mettrait 19 154 798 ans. Même 10 000 cartes graphiques ne réduiraient pas suffisamment le temps. Et il ne faut jamais négliger le coût d'une telle attaque. Moins le coût d'acquisition des cartes graphiques, mais plutôt leur consommation électrique si toutes ces cartes graphiques fonctionnent à pleine puissance 24 heures sur 24 pendant des années, des décennies ou même des siècles. Cela représente rapidement des milliards d'euros de coûts d'électricité pour casser une seule connexion PSK dans le monde entier. De plus, chaque fois que la PSK change, l'attaquant doit recommencer à zéro. Si donc la PSK est changée une fois par an, un attaquant n'aurait qu'un an pour la trouver ; ce serait déjà assez ambitieux, même avec une PSK faible.

.
Datenschutz-Einstellungen