 Une faille permet de détourner des connexions VPN, Réactions à la publication du 09/12/2019 |
 |
Bienvenue invité ( Connexion | Inscription )
  |
 9 Dec 2019, 13:56
Message
#1
|
|
 BIDOUILLE Guru  Groupe : Admin Messages : 55 335 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3  |
Une faille de sécurité portant la numérotation CVE-2019-14899 a été dévoilée.
Elle touche les systèmes dérivés d'Unix dont Linux macOS, iOS... Voici ce qui en est dit: Cette vulnérabilité affecte la plupart des distributions Linux et des systèmes d'exploitation Unix comme FreeBSD, OpenBSD, macOS, iOS, et Android et permet à un attaquant présent dans le réseau local de déterminer si un autre utilisateur est connecté à un VPN, l'adresse IP virtuelle qui lui a été attribuée par le serveur VPN, et s'il y a ou non une connexion active à un site Web donné. De plus, l’attaquant pourrait déterminer les numéros des séquences et d'acquittements des sessions TCP en comptant les paquets chiffrés et/ou en examinant leur taille. Cela lui permet d'injecter des données dans le flux TCP et de voler ces sessions. Ces vulnérabilités concernent OpenVPN, WireGuard et IKEv2/IPSec, mais potentiellement aussi d'autres technologies VPN. Aucun exploit public n'a été publié, mais les détails techniques pour reproduire cette vulnérabilité sont disponibles. La faille est donc bien sérieuse, dans des domaines où la confidentialité est de mise. Il n'y a plus qu'à attendre que des correctifs soient codés et distribués. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
 |
 
|
|
9 Dec 2019, 14:21
Message
#2
|
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 270 Inscrit : 8 Jan 2004 Membre no 13 171 |
L'attaque decrite dans cet article n'est pas si dramatique car difficile a mettre en oeuvre. Mais Amazon a decouvert que la meme faille pouvait etre beaucoup plus facilement exploitee pour detourner des requetes DNS.
En attendant les correctifs (deja en place dans DSVPN et le versions de development de Wireguard et OpenBSD), on peut se proteger en utilisant un outil comme DNSCrypt. https://www.reddit.com/r/dnscrypt/comments/...ed_connections/ Cette faille ne permet neanmoins pas de dechiffrer le contenu des connexions VPN. Uniquement d'y injecter du contenu. Les connexions aux sites web et APIs utilisant TLS ne sont par exemple pas touchees, pourvu que la verification des certificats soit correctement effectuee toutes les applications. -------------------- |
|
|
|
|
9 Dec 2019, 18:13
Message
#3
|
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 835 Inscrit : 16 Nov 2003 Membre no 11 701 |
Est-ce que l'on pourrait relier, d'une façon ou d'une autre, cette information à (par exemple) https://www.techspot.com/news/82126-google-...t-congress.html ?
|
|
|
|
|
10 Dec 2019, 11:39
Message
#4
|
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 335 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Citation (ericb2 @ 9 Dec 2019, 18:13)  Est-ce que l'on pourrait relier, d'une façon ou d'une autre, cette information à (par exemple) https://www.techspot.com/news/82126-google-...t-congress.html ? Non, dans ce cas les ISP ne veulent pas car ils perdent des informations sur la navigation de leurs clients, qu'ils peuvent exploiter pour de la pub. Ils craignent (à raison) que Google ne s'accapare cette manne financière pour lui seul. -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
|
|
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :
| Nous sommes le : 19th April 2024 - 05:08 |