Le protocole MPPE

Mais la clé de chiffrement est un dérivé du mot de passe et non une chaîne vraiment
aléatoire de 40 ou 128 bit. NT limite le type et le nombre de caractères disponibles
pour les mots de passe ; résultat, les clés PPTP ne sont pas de véritables clés
générées aléatoirement. Le chiffrement des données ne peut compter que sur la
force du mot de passe.

Pour réaliser le chiffrement des données, PPTP applique un sous-protocole baptisé
MPPE (Microsoft Point-to-Point Encryption), qui utilise l’algorithme de chiffrement
RC4. Cet algorithme produit une chaîne continue d’octets imprévisibles à  partir
d’une valeur initiale (c’est-à -dire la clé de chiffrement). MPPE effectue une
opération OU exclusif avec cette chaîne d’octets et celle des données d’utilisateur
qu’il est en train de chiffrer. Puis il envoie le chiffre obtenu au destinataire.
Celui-ci effectue à  son tour une opération OU exclusif avec le chiffre envoyé
par MPPE et la chaîne RC4 d’octets imprévisibles pour déchiffrer les données.
Cette méthode de chiffrement fonctionne bien si on l’utilise correctement, ce
qui signifie qu’il ne faut jamais chiffrer deux chaînes de données avec une clé.
Si des hackers capturent les deux chaînes chiffrées et connaissent le texte en
clair d’une partie de l’une des chaînes ou s’ils peuvent en prédire une partie,
ils risquent de déchiffrer une partie égale du texte de l’autre chaîne. Malheureusement,
Microsoft utilise la même clé RC4 pour chiffrer les données du client au serveur
et du serveur au client.
Pour tirer parti de cette vulnérabilité, un hacker doit renifler le trafic PPTP
pendant sa traversée de l’Internet et connaître ou prédire les données de l’une
des chaînes. Plusieurs méthodes s’offrent à  lui pour lancer cette attaque.

Par exemple, les données d’utilisateur chiffrées par MPPE sont des paquets PPP
(Point-to-Point Protocol) contenant des informations d’en-tête prévisibles. Un
hacker pourrait prévoir l’en-tête en clair des paquets PPP voyageant dans un sens
et par conséquent récupérer une quantité correspondante de texte voyageant dans
le sens opposé. Mais la plupart des données récupérées par un hacker avec cette
méthode sont des en-têtes de paquets sans grand intérêt à  cause de la construction
uniforme des paquets et de la synchronisation des chaînes de chiffres par MPPE.

Deuxième possibilité, un hacker peut faire voyager le texte en clair dans un sens
pour déchiffrer les données envoyées dans le sens opposé. Cette méthode implique
d’avoir un complice à  l’intérieur du LAN sécurisé, qui pompe les données connues
à  travers la connexion PPTP pendant que le hacker renifle le trafic.

Dans une troisième méthode, le hacker envoie une énorme quantité de courriers
électroniques aux utilisateurs PPTP. Le courrier électronique attend sur le serveur
SMTP des utilisateurs, qui se trouve très probablement derrière le serveur PPTP.
Lorsque les utilisateurs distants récupèrent leur courrier électronique, le hacker
peut décoder les données envoyées dans le sens opposé.La toute dernière version
de PPTP utilise des clés de session uniques pour les deux sens du trafic. PPTP
déduit à  présent les clés du hachage du mot de passage et de la méthode de la
question/réponse utilisée par MSCHAP 2.0. La question est différente à  chaque
fois, les clés sont donc uniques.
Chaque sens du trafic a une clé de session séparée : l’une basée sur la question
du serveur et l’autre sur la question du client. Mais Microsoft a beau déclarer
que cette amélioration donne des clés de chiffrement initial plus fortes, les
clés PPTP ne sont toujours pas de véritables clés générées aléatoirement.Par ailleurs
MPPE met à  jour la clé de session tous les 265 paquets, ce qui en fait une cible
mouvante. Mais le mode de traitement par MPPE des paquets perdus porte à  son tour
atteinte à  la sécurité. MPPE utilise un compteur cohérent qu’il incrémente à  chaque
paquet pour maintenir la synchronisation entre les expéditeurs et les destinataires
des paquets.
Lorsqu’il reçoit un paquet possédant un compteur de cohérence inattendu, MPPE
vide la chaîne de chiffres RC4 et la resynchronise avec l’expéditeur des données,
réglant ainsi le compteur sur le prochain changement de clé. Un hacker peut empêcher
MPPE de changer la clé de session en espionnant constamment un mauvais compteur
de cohérence.
L’objectif de cette ruse est de faire utiliser par MPPE la même clé pour le chiffrement,
ce qui facilite le reniflement pour le hacker. Microsoft traite ce risque avec
un mode  » sans historique  » pour la gestion des clés MPPE. Ce mode bat en brèche
ces attaques.