> Tech > PPTP est-il médiocre ?

PPTP est-il médiocre ?

Tech - Par iTPro - Publié le 24 juin 2010
email

Microsoft a certes comblé certaines failles de la sécurité de PPTP, mais il n'a pas corrigé toutes ses faiblesses. PPTP conduit toutes ses opérations de contrôle, telles que la configuration et la maintenance des connexions, dans un canal en texte clair sans authentification.
Ce défaut de conception laisse PPTP

PPTP est-il médiocre ?

grand ouvert aux attaques de refus de service
(c’est-à -dire une attaque envahissant le réseau avec tellement de requêtes qu’elle
ralentit ou interrompt complètement le trafic normal). De plus, les hackers peuvent
glaner un grand nombre d’informations sur un serveur PPTP à  partir de ce canal
de contrôle non chiffré et non authentifié.Autrement dit, PPTP n’est pas terrible.

Ses problèmes tiennent à  son implémentation par Microsoft. L’éditeur a utilisé
des techniques de génération de clés bas de gamme qui donnent un chiffrement médiocre.

De plus il compromet l’algorithme RC4 en chiffrant plusieurs chaînes de données
avec la même clé. En ne chiffrant pas le canal de contrôle et en n’exigeant pas
l’authentification mutuelle, Microsoft a laissé PPTP ouvert aux attaques d’usurpateurs
et, telle qu’elle est conçue, son implémentation de PPTP peut révéler des informations.
Alors, PPTP est-il sûr ? Microsoft déclare avoir corrigé la plupart des failles
de sécurité et les utilisateurs et les hackers ayant découvert les vulnérabilités
n’ont pas contesté cette déclaration. La plupart des analystes conviennent que
PPTP est sûr pour les besoins des VPN de petite envergure et, si vous mettez en
oeuvre les améliorations, PPTP sera très difficile à  pirater.PPTP est donc une
option sûre pour les petites entreprises dispersées géographiquement, qui peuvent
profiter en toute tranquillité de la connectivité d’un WAN pour le prix d’une
ligne téléphonique et d’un compte de fournisseur d’accès.
Les grandes entreprises, obligées de transmettre des informations confidentielles
par l’Internet, doivent rechercher des outils tiers utilisant des standards de
l’industrie, comme L2TP (Layer 2 Tunneling Protocol) ou IPSec (IP Security). Si
vous restez fidèle à  PPTP, vous pourrez vous réjouir d’apprendre que Windows 2000
supportera nativement IPSec.

Téléchargez gratuitement cette ressource

Les 7 étapes d’un projet de dématérialisation RH

Les 7 étapes d’un projet de dématérialisation RH

Dans ce livre blanc, nous vous donnons les clés pour concevoir votre projet de dématérialisation RH. Vous découvrirez chacune des étapes qui vous permettront d’apporter de nouveaux services aux collaborateurs, de vous adapter aux nouvelles pratiques et de renforcer la marque employeur.

Tech - Par iTPro - Publié le 24 juin 2010