Une nouvelle attaque vient d’être mise au point contre MS-CHAP, le protocole qui est utilisé par PPTP (entre autres) pour transmettre le mot de passe de l’utilisateur lors de la connexion.

Cette attaque permet de retrouver le mot de passe de connexion en quelques heures seulement, et rend inefficace le chiffrement des connexions qui utilisent ce protocole.

Il est possible que les protections WiFi WPA et WPA2 soient également vulnérables à cette attaque, ainsi que beaucoup d’autres. Nous ne savons pas encore si les connexions L2TP/IPsec protégées par mot de passe sont vulnérables.

Notre VPN n’est pas affecté par cette vulnérabilité car nous n’utilisons ni MS-CHAP, ni PPTP. La connexion s’effectue avec OpenVPN et l’utilisateur est authentifié au moyen de son certificat personnel, et non avec un mot de passe.

Pour plus d’informations, je vous invite à consulter cet article, en anglais.

Publicités