Ce n'est pas du tout une nouvelle faille: le fait que si on désactive l'authentification avec IPSec, on peut casser complètement la sécurité avec une attaque active de type Man-In-The-Middle est connue depuis longtemps.
Le problème c'est que quelqu'un pose un advisory pour se faire de la pub et c'est repris par tous les journalistes qui ne connaissent rien de yahoo news à news.com, et enfin ça finit sur DLFP.
Steve M. Bellovin a écrit un article nommé "Problem areas for the IP Security Protocols" qui décrit ces problèmes SI ON DESACTIVE L'AUTHENTIFICATION DES PAQUETS et qui est paru déjà il y a quelques années .
Le fait que ce soit possible de désactiver l'auth n'implique pas qu'IPSec soit cassé, cela peut être intéressant lorsque l'on essaye de debugger lors d'un premier déploiement d'IPSec qui ne passe pas (oui ce n'est pas toujours évident), comme c'est le cas par exemple pour l'utilité des clés manuelles.
Ce sont des problèmes bien connus, pour plusieurs protocoles et si on ne les utilises pas dans les règles il faut s'attendre à de mauvaises surprises.
Pour ceux qui ne seraient pas d'accord avec cet avis: j'annonce ici avoir cassé le protocole SSH: si vous vous connectez à un serveur SSH sans avoir au préalable installé sa clé publique ou avoir vérifié son empreinte, vous cassez complètement le protocole avec un Man-In-The-Middle. Soit dit-en passant, c'est l'utilisation faite par 90% des gens et c'est complètement vulnérable.
Enfin, cela pour montrer qu'il n'y a pas à s'affoler, que cette news n'apporte rien de nouveau et que son seul mérite est de faire comprendre aux gens que désactiver l'auth c'est mal et que les développeurs de solutions IPSec devraient empêcher de désactiver l'auth comme cela est le cas par exemple pour OpenVPN.
# Qui modère les news postées sur DLFP?
Posté par ouah . En réponse à la dépêche Faille de sécurité dans les protocoles IPSec. Évalué à 10.
Le problème c'est que quelqu'un pose un advisory pour se faire de la pub et c'est repris par tous les journalistes qui ne connaissent rien de yahoo news à news.com, et enfin ça finit sur DLFP.
Steve M. Bellovin a écrit un article nommé "Problem areas for the IP Security Protocols" qui décrit ces problèmes SI ON DESACTIVE L'AUTHENTIFICATION DES PAQUETS et qui est paru déjà il y a quelques années .
Le fait que ce soit possible de désactiver l'auth n'implique pas qu'IPSec soit cassé, cela peut être intéressant lorsque l'on essaye de debugger lors d'un premier déploiement d'IPSec qui ne passe pas (oui ce n'est pas toujours évident), comme c'est le cas par exemple pour l'utilité des clés manuelles.
Ce sont des problèmes bien connus, pour plusieurs protocoles et si on ne les utilises pas dans les règles il faut s'attendre à de mauvaises surprises.
Pour ceux qui ne seraient pas d'accord avec cet avis: j'annonce ici avoir cassé le protocole SSH: si vous vous connectez à un serveur SSH sans avoir au préalable installé sa clé publique ou avoir vérifié son empreinte, vous cassez complètement le protocole avec un Man-In-The-Middle. Soit dit-en passant, c'est l'utilisation faite par 90% des gens et c'est complètement vulnérable.
Enfin, cela pour montrer qu'il n'y a pas à s'affoler, que cette news n'apporte rien de nouveau et que son seul mérite est de faire comprendre aux gens que désactiver l'auth c'est mal et que les développeurs de solutions IPSec devraient empêcher de désactiver l'auth comme cela est le cas par exemple pour OpenVPN.