Vous êtes sur le site public du Cert-IST
Faille dans l'algorithme de chiffrement par défaut de PcAnywhere

Date :06 Juillet 2005

Publication: Article

Le logiciel PcAnywhere est un outil de type client/serveur permettant d'administrer à distance une machine, et de faire du transfert de fichiers. Une faille a été révélée fin novembre par le magazine français Pirates Mag', dans l'algorithme par défaut utilisé pour le chiffrement du mot de passe. Ceci peut permettre à un utilisateur non authentifié de prendre le contrôle de la machine à distance.

 

Explication :

L'authentification sur un équipement hôte nécessite impérativement l'utilisation d'un couple " login/mot de passe ". PcAnywhere propose plusieurs types d'authentifications en plus de l'authentification PcAnywhere native : Active Directory Server, Microsoft LDAP, Windows NT, Novell bindery, Novell Directory Service, Novell LDAP, FTP, HTTP, HTTPS et Netscape LDAP. Ces modes d'authentification se distinguent par différents degrés de sécurité associés : ainsi, les types d'authentification FTP ou HTTP laissent circuler les informations de " login/mot de passe " en clair sur le réseau.

La liste des utilisateurs autorisés est mémorisée sur l'équipement hôte (équipement dont on prend le contrôle) à raison d'un fichier par utilisateur déclaré. Ces fichiers contiennent le login de l'utilisateur et éventuellement son mot de passe (cas par exemple de l'authentification PcAnywhere native) et sont chiffrés.

Or, l'algorithme de chiffrement par défaut est un algorithme propriétaire PcAnywhere peu fiable, qu'un simple programme en BASIC (publié par Pirates Mag') permet de déchiffrer. Le logiciel PcAnywhere propose d'autres algorithmes plus efficaces, mais il est nécessaire de les choisir spécifiquement, ce que beaucoup d'administrateurs oublient de faire.

L'attaque repose cependant sur l'interception du mot de passe lors de la connexion à PcAnywhere, et elle exige donc de pouvoir sniffer (écouter) le réseau. Cela est possible en entreprise, où n'importe quel utilisateur peut se procurer un programme ad-hoc et le faire fonctionner sur son poste de travail. Il intercepterait ainsi, entre autres, tous les mots de passe PCAnywhere chiffrés qui circulent sur son segment du réseau, et pourrait les déchiffrer aisément.

Une étude a été réalisée à ce sujet le mois dernier par le Cert-IST, évaluant la sécurité des outils d'administration à distance (dont PcAnywhere). Un certain nombre de recommandations de sécurité sont présentées ; en particulier concernant l'authentification, le Cert-IST recommande d'utiliser les solutions de services d'annuaire ou les solutions d'authentification Windows (authentification locale ou sur un domaine). Lors de cette étude, la vulnérabilité de l'algorithme d'encodage par défaut a été testée, grâce à un programme téléchargé depuis Internet.

 

Références :