Risques de sécurité VPN PPTP

PPTP est l'implémentation VPN de Microsoft, qui existe depuis Windows NT. Les utilisateurs ont tendance à aimer utiliser PPTP car il est généralement configuré sur les ordinateurs de bureau Windows avec un raccourci qui mémorise le nom d'utilisateur et le mot de passe pour un accès rapide.

Grâce à une résolution de nom appropriée (historiquement WINS) et désormais DNS, les utilisateurs peuvent facilement parcourir le réseau à la recherche de partages et d'imprimantes. En arrière-plan, l'administrateur système configure Windows Server PPTP avec le rôle Routage et accès à distance (RRAS).

Bien que les outils utilisés pour gérer et déployer les systèmes PPTP aient changé à chaque nouvelle version de Windows, il est universellement admis que PPTP n'est pas sécurisé par rapport aux alternatives modernes et ajoute des coûts de support indirects supplémentaires, même lorsqu'il est mis à niveau pour prendre en charge SSTP.

Le protocole PPTP lui-même n'est plus considéré comme sécurisé, car le cracking de l'authentification MS-CHAPv2 initiale peut être réduit à la difficulté de cracker une seule clé DES 56 bits, qui, avec les ordinateurs actuels, peut être brutalement forcée en très peu de temps (faisant un mot de passe fort largement sans rapport avec la sécurité de PPTP car l'ensemble de l'espace de clés 56 bits peut être recherché dans des contraintes de temps pratiques).

Un attaquant peut capturer la poignée de main (et tout trafic PPTP après cela), effectuer un crackage hors ligne de la poignée de main et en dériver le RC4 clé. Une fois la clé RC4 obtenue, l'attaquant pourra décrypter et analyser le trafic transporté dans le VPN PPTP. PTP ne prend pas en charge la confidentialité de transmission, donc le simple fait de déchiffrer une session PPTP suffit à déchiffrer toutes les sessions PPTP précédentes utilisant les mêmes informations d'identification.

PPTP offre une faible protection à l'intégrité des données acheminées par tunnel. Le chiffrement RC4, tout en fournissant un chiffrement, ne vérifie pas l'intégrité des données car il ne s'agit pas d'un chiffrement authentifié avec données associées (AEAD).

PPTP n'effectue pas non plus de contrôles d'intégrité supplémentaires sur son trafic et est vulnérable aux attaques de type "bit-flip", par exemple l'attaquant peut modifier les paquets PPTP avec peu de chances d'être détecté. Diverses attaques découvertes sur le chiffrement RC4 (comme l'attaque Royal Holloway) font de RC4 un mauvais choix pour sécuriser de grandes quantités de données transmises, et les VPN sont un candidat de choix pour de telles attaques car ils transmettent généralement des quantités importantes et sensibles de données.

Port PPTP

Le protocole PPTP (Point-to-Point Tunneling Protocol) utilise le port TCP 1723 et le protocole IP 47 Generic Routing Encapsulation (GRE). Le port 1723 peut être bloqué par les FAI et le protocole IP GRE 47 peut ne pas être transmis par de nombreux pare-feu et routeurs modernes.

Vulnérabilités du VPN PPTP

Les experts en sécurité ont examiné PPTP et répertorié de nombreuses vulnérabilités connues, notamment :

MS-CHAP-V1 est fondamentalement non sécurisé

Il existe des outils qui permettent d'extraire facilement les hachages de mot de passe NT du trafic d'authentification MS-CHAP-V1. MS-CHAP-V1 est le paramètre par défaut sur les anciens serveurs Windows.

MS-CHAP-V2 est vulnérable

MS-CHAP-V2 est vulnérable aux attaques par dictionnaire sur les paquets de réponses aux défis capturés. Des outils existent pour déchiffrer rapidement ces échanges.

Possibilités d'attaque par force brute du VPN PPTP

Il a été démontré que la complexité d'une attaque par force brute sur une clé MS-CHAP-v2 est équivalente à celle d'une attaque par force brute sur une seule clé DES. En l'absence d'options intégrées pour l'authentification multifacteur/à deux facteurs, les implémentations PPTP sont extrêmement vulnérables.

Coûts supplémentaires de l'assistance VPN PPTP

Méfiez-vous des coûts de support supplémentaires généralement associés à PPTP et au client VPN Microsoft.

• Par défaut, le réseau Windows d'un utilisateur final est acheminé via le réseau VPN du bureau. En conséquence, cela laisse le réseau interne ouvert aux logiciels malveillants et ralentit tout Internet pour tous les utilisateurs au bureau.
• PPTP est généralement bloqué à de nombreux endroits en raison de problèmes de sécurité connus, ce qui entraîne des appels au service d'assistance pour résoudre les problèmes de connectivité.
• Les conflits avec les sous-réseaux internes du bureau sur des sites distants peuvent bloquer le routage VPN Microsoft, ce qui entraîne l'absence de connectivité et, là encore, des coûts de support supplémentaires.
• Des fluctuations mineures du réseau peuvent déconnecter le client VPN Microsoft pendant son utilisation, corrompant les fichiers et entraînant des restaurations et des pertes de travail.
• Le service informatique devra maintenir une flotte supplémentaire d'ordinateurs portables d'entreprise avec Microsoft VPN préconfiguré pour chaque utilisateur distant potentiel.
• Les logiciels malveillants de type Crypto Locker sont libres de crypter les fichiers via le tunnel VPN.

VPN PPTP – MyWorkDrive comme solution

MyWorkDrive agit comme le parfait Alternative VPN Solution

Contrairement à MyWorkDrive, les risques de sécurité liés à la prise en charge des VPN Microsoft PPTP ou SSTP sont éliminés :

• Les utilisateurs bénéficient d'un client Web File Manager élégant et facile à utiliser, accessible depuis n'importe quel navigateur.
• Les coûts de support informatique sont éliminés : les utilisateurs se connectent simplement avec leurs informations d'identification Windows Active Directory/Entra ID existantes ou utilisent ADFS ou tout autre fournisseur SAML pour accéder aux partages de l'entreprise, aux lecteurs personnels et modifier/afficher des documents en ligne.
• Les clients Mobile Client pour Android/iOS et les clients MyWorkDrive Desktop Mapped Drive sont disponibles.
• Contrairement au VPN, bloquez les types de fichiers et recevez des alertes lorsque les modifications de fichiers dépassent les seuils définis pour bloquer les ransomwares.
• Pour des raisons de sécurité, tous les clients MyWorkDrive prennent en charge l'authentification DUO à deux facteurs.