Avis de sécurité

Conseils de sécurité Microsoft 2876146

L’authentification PEAP-MS-CHAPv2 sans fil pourrait autoriser la divulgation d’informations

Publication : 04 août 2013

Version : 1.0

Informations générales

Résumé

Microsoft est conscient d’un rapport public qui décrit une faiblesse connue dans le protocole d’authentification Wi-Fi appelé PEAP-MS-CHAPv2 (Protocole d’authentification extensible protégé avec Microsoft Challenge Handshake Authentication Protocol version 2), utilisé par Windows Téléphone s pour l’authentification sans fil WPA2. Dans les scénarios vulnérables, un attaquant qui a réussi à exploiter ce problème peut obtenir une divulgation d’informations sur l’appareil ciblé. Microsoft n’est actuellement pas conscient des attaques actives ou de l’impact du client pour l’instant. Microsoft surveille activement cette situation pour informer les clients et fournir des conseils au client si nécessaire.

Pour exploiter ce problème, un système contrôlé par l’attaquant peut se présenter comme un point d’accès Wi-Fi connu, ce qui entraîne la tentative automatique de l’appareil ciblé de s’authentifier auprès du point d’accès et, à son tour, permettant à l’attaquant d’intercepter les informations d’identification de domaine chiffrées de la victime. Un attaquant peut ensuite exploiter les faiblesses de chiffrement dans le protocole PEAP-MS-CHAPv2 pour obtenir les informations d’identification de domaine de la victime. Ces informations d’identification peuvent ensuite être réutilisées pour authentifier l’attaquant sur les ressources réseau, et l’attaquant peut entreprendre toute action que l’utilisateur peut entreprendre sur cette ressource réseau.

Recommandation. Appliquez l’action suggérée pour exiger un certificat vérifiant un point d’accès sans fil avant de démarrer un processus d’authentification. Pour plus d’informations, consultez la section Actions suggérées de cet avis.

Détails de l’avis

Logiciel affecté

Cet avis traite des appareils suivants.

Système d’exploitation d’appareil affecté
Windows Phone 8
Windows Phone 7.8

Faq sur les conseils

Quelle est la portée de l’avis ?
L’objectif de cet avis est d’informer les clients que Microsoft est au courant d’un rapport public qui décrit une faiblesse connue concernant le protocole d’authentification Wi-Fi appelé PEAP-MS-CHAPv2. Ce problème affecte les appareils Windows Téléphone. Ce problème affecte les systèmes d’exploitation d’appareil répertoriés dans la section Logiciels affectés.

S’agit-il d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité ?
Non, il ne s’agit pas d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité. Ce problème est dû à des faiblesses de chiffrement connues dans le protocole PEAP-MS-CHAPv2 et est résolu par l’implémentation de modifications de configuration sur les points d’accès sans fil et sur les appareils Windows Téléphone 8.

Qu’est-ce qu’un attaquant peut utiliser le problème ?
Dans la plupart des scénarios, un attaquant qui a réussi à exploiter ce problème peut obtenir des informations de divulgation d’informations sur les informations d’identification de domaine d’une victime à partir de l’appareil ciblé. Un attaquant peut réutiliser les informations d’identification de domaine d’une victime pour authentifier l’attaquant sur les ressources réseau, et l’attaquant peut entreprendre toute action que l’utilisateur peut entreprendre sur cette ressource réseau.

Comment un attaquant pourrait-il exploiter le problème ?
Un système contrôlé par l’attaquant peut se présenter comme un point d’accès Wi-Fi connu, ce qui entraîne la tentative automatique de l’appareil de la victime de s’authentifier auprès du point d’accès et, à son tour, permettant à l’attaquant d’intercepter les informations d’identification de domaine chiffrées de la victime. Un attaquant peut ensuite exploiter les faiblesses de chiffrement dans le protocole PEAP-MS-CHAPv2 pour obtenir les informations d’identification de domaine de la victime.

Qu’est-ce que PEAP-MS-CHAPv2 ?
PEAP-MS-CHAPv2 est un protocole d’authentification sans fil utilisé pour authentifier un utilisateur auprès d’un point d’accès avec l’intention de s’assurer que seuls les appareils autorisés peuvent se connecter à un réseau sans fil. PEAP-MS-CHAPv2 est couramment utilisé avec le protocole de protection sans fil WPA2.

Qu’est-ce que WPA2 ?
Wi-Fi Protected Access II (WPA2), IEEE 802.11i, est un protocole de sécurité utilisé pour garantir la confidentialité des communications réseau sans fil et est le successeur de WPA.

Actions suggérées

Pour vous protéger contre l’exploitation du problème décrit dans cet avis, appliquez l’une des actions suggérées suivantes :

  • Exiger un certificat vérifiant un point d’accès sans fil avant de démarrer un processus d’authentification à partir de Windows Téléphone 8 appareils

    Un appareil Windows Téléphone 8 peut être configuré pour valider un point d’accès réseau pour vous assurer que le réseau est le réseau de votre entreprise avant de démarrer un processus d’authentification. Pour ce faire, validez un certificat qui se trouve sur le serveur de votre entreprise. Une fois le certificat validé, le nom d’utilisateur et les informations de mot de passe sont envoyées au serveur d’authentification, afin que le téléphone puisse se connecter au réseau Wi-Fi.

    Émission du certificat :

    L’informatique d’entreprise émet le certificat racine qui peut être utilisé pour valider le point d’accès sans fil. Le certificat doit avoir un nom facile à mémoriser ; par exemple, « Certificat racine d’entreprise Contoso ». Ce certificat a déjà été provisionné via la solution MDM gérée par l’informatique (solution mobile Gestion des appareils).

    Le certificat peut être émis via un e-mail. Le message électronique doit également contenir des instructions du service informatique sur la façon d’activer la validation des certificats Wi-Fi. Par exemple, le message électronique peut contenir les étapes suivantes.

    Configuration d’un windows Téléphone 8 pour exiger un certificat indiquant un point d’accès sans fil :

    Après avoir reçu le certificat racine de l’informatique d’entreprise, chaque utilisateur Windows Téléphone 8 effectue les étapes suivantes :

    Supprimez la connexion Wi-Fi précédemment configurée.

    1. Dans Paramètres, Wi-Fi, appuyez sur Avancé
    2. Appuyez longuement sur le réseau Wi-Fi sélectionné, puis choisissez Supprimer

    Créez une connexion et activez la validation des certificats de serveur.

    1. Dans les paramètres Wi-Fi, appuyez sur le point d’accès réseau Wi-Fi d’entreprise, qui ouvre une page de connexion
    2. Nom d'utilisateur et mot de passe
    3. Basculez « Valider le certificat de serveur » sur Activé
    4. Appuyez pour choisir un certificat
    5. Dans la liste des certificats à sélectionner, sélectionnez le certificat racine émis par l’informatique d’entreprise (par exemple, « Certificat racine d’entreprise Contoso »), puis appuyez sur Terminé.

     

  • Désactiver le Wi-Fi dans les appareils Windows Téléphone

    Dans Paramètres, Wi-Fi, appuyez pour activer le bouton bascule « Réseau Wi-Fi » sur Désactivé

     

Autres informations

Commentaires

  • Vous pouvez fournir des commentaires en remplissant le formulaire Aide et support Microsoft, contactez-nous.

Support

  • Les clients du États-Unis et du Canada peuvent recevoir un soutien technique du support technique. Pour plus d’informations, consultez Aide et support Microsoft.
  • Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations, consultez Support international.
  • Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.

Exclusion de responsabilité

Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.

Révisions

  • V1.0 (4 août 2013) : avis publié.

Construit à 2014-04-18T13 :49 :36Z-07 :00