PEAP-MSCHAPv2 : Pourquoi il est encore courant, pourquoi il est risqué et comment s'en affranchir

Bonjour et bienvenue dans ce point technique Purple. Je suis votre hôte, et aujourd'hui nous abordons un sujet au carrefour de l'architecture réseau, de la conformité en matière de sécurité et, pour être honnête, de la dette technique historique. Nous parlons de PEAP-MSCHAPv2. Plus précisément, nous allons voir pourquoi il reste la méthode d'authentification la plus courante pour le WiFi d'entreprise, pourquoi il est fondamentalement risqué dans le paysage des menaces actuel et, surtout, comment vous pouvez concrètement faire évoluer votre entreprise vers une solution plus performante. Commençons par le contexte. Si vous êtes directeur informatique ou architecte réseau dans un hôtel, une chaîne de magasins ou un grand espace public, il y a de fortes chances que le réseau WiFi de votre personnel — et peut-être vos appareils d'entreprise — s'authentifie à l'aide de PEAP-MSCHAPv2. C'est la norme par défaut pour les réseaux WPA2-Enterprise depuis près de deux décennies. Pourquoi ? Parce qu'il est incroyablement facile à déployer. Il se connecte directement à Active Directory via un serveur RADIUS, et les utilisateurs saisissent simplement leur nom d'utilisateur et leur mot de passe Windows habituels. Pas de certificats à gérer, pas d'infrastructure de clés publiques complexe à mettre en place. Cela fonctionne, tout simplement. Mais « fonctionner, tout simplement » ne suffit plus. L'architecture de sécurité qui sous-tend PEAP-MSCHAPv2 est, pour dire les choses crûment, obsolète. Plongeons dans la réalité technique. MSCHAPv2 repose sur l'algorithme de hachage MD4 et le chiffrement DES. Ces deux normes cryptographiques ont été conçues dans les années 1990 et sont considérées comme faibles depuis plus de dix ans. En 2012, lors de la conférence de sécurité DEF CON, le chercheur Moxie Marlinspike a démontré que la poignée de main MSCHAPv2 pouvait être déchiffrée de manière déterministe. Il a publié un outil qui réduisait le processus de décryptage à une simple clé DES unique, ce qui signifie qu'un attaquant disposant d'une puissance de calcul modeste — ou d'un accès à un service de décryptage cloud — pouvait récupérer le mot de passe Active Directory en clair d'un utilisateur à partir d'une poignée de main capturée en quelques heures, voire en quelques minutes. Alors, comment un attaquant capture-t-il concrètement cette poignée de main dans le monde réel ? Cela nous amène à l'attaque « Evil Twin ». Imaginez un bureau d'entreprise ou la zone administrative d'un hôtel. Un attaquant entre avec un point d'accès pirate — souvent un appareil aussi petit qu'un Wi-Fi Pineapple dans son sac à dos. Il configure ce point d'accès pirate pour diffuser exactement le même SSID que votre réseau d'entreprise, par exemple « Staff-WiFi ». Il augmente la puissance du signal pour que les appareils à proximité le préfèrent naturellement à vos points d'accès légitimes. Lorsqu'un ordinateur portable ou un téléphone d'un employé tente de se connecter, le point d'accès pirate joue le rôle d'authentificateur et pointe vers un faux serveur RADIUS contrôlé par l'attaquant. L'appareil de l'employé lance le tunnel PEAP. C'est là que se situe le point de défaillance critique : PEAP repose sur la vérification par l'appareil client du certificat numérique du serveur pour s'assurer qu'il communique avec le véritable serveur RADIUS de l'entreprise. Cependant, dans la grande majorité des déploiements, les appareils clients sont soit mal configurés, soit les utilisateurs voient simplement s'afficher un message contextuel leur demandant « Faites-vous confiance à ce certificat ? » et cliquent sur « Oui » uniquement pour se connecter. Une fois ce faux certificat accepté, l'appareil envoie le défi-réponse MSCHAPv2 à travers le tunnel. L'attaquant le capture, s'en va et déchiffre le hachage hors ligne. Il dispose désormais d'identifiants Active Directory valides, qu'il peut utiliser pour se connecter à votre VPN, à votre messagerie ou à tout autre service de l'entreprise. Il ne s'agit pas d'un risque théorique. C'est une procédure opérationnelle standard pour les testeurs d'intrusion comme pour les acteurs malveillants. Et si vous êtes soumis à des cadres de conformité tels que PCI DSS ou le GDPR, s'appuyer sur un protocole d'authentification compromis constitue une responsabilité majeure. Alors, si les risques sont si élevés, pourquoi n'avons-nous pas tous évolué ? La réponse réside généralement dans un mélange de complexité perçue et de matériel existant. S'affranchir de PEAP implique de passer à une authentification basée sur des certificats, plus précisément EAP-TLS. EAP-TLS est la référence absolue. Il exige que le serveur et l'appareil client présentent tous deux un certificat numérique valide. Aucun mot de passe n'est transmis, qu'il soit haché ou non. Il est totalement insensible aux attaques par dictionnaire hors ligne et hautement résistant aux attaques Evil Twin, car le client rejettera silencieusement tout faux serveur RADIUS qui ne possède pas de certificat signé par votre autorité de certification de confiance. Mais déployer EAP-TLS signifie que vous avez besoin d'une infrastructure de clés publiques, ou PKI. Vous devez disposer d'un moyen de générer des certificats et de les distribuer de manière sécurisée à chaque ordinateur portable, téléphone et tablette de votre parc. Il y a cinq ans, la mise en place d'une infrastructure Active Directory Certificate Services de Microsoft était un projet titanesque et coûteux. Aujourd'hui, cependant, le paysage a changé. La voie de mise en œuvre est beaucoup plus claire. Si vous planifiez une migration, voici l'approche pragmatique que nous recommandons à nos clients chez Purple. Tout d'abord, vous n'avez pas besoin de faire une transition brutale. Les serveurs RADIUS modernes — qu'il s'agisse de Cisco ISE, d'Aruba ClearPass ou de solutions cloud-natives — vous permettent d'exécuter PEAP-MSCHAPv2 et EAP-TLS simultanément sur le même SSID. La première étape consiste à déployer votre PKI. Vous n'avez plus nécessairement besoin de la concevoir sur site. Les solutions de PKI cloud s'intègrent directement à votre fournisseur d'identité — comme Entra ID ou Google Workspace — et à vos plateformes de gestion des appareils mobiles (MDM) comme Intune ou Jamf. La deuxième étape consiste à utiliser votre MDM pour déployer de manière transparente des certificats clients sur vos appareils gérés. Vous pouvez configurer le profil WiFi via le MDM pour qu'il privilégie EAP-TLS. Cela signifie que vos ordinateurs portables d'entreprise basculeront automatiquement vers la méthode sécurisée basée sur les certificats, sans aucune interaction de l'utilisateur. La troisième étape est la phase de transition. Vous surveillez vos journaux RADIUS. Vous verrez vos appareils gérés s'authentifier via EAP-TLS, tandis que les appareils non gérés ou plus anciens continueront d'utiliser PEAP. Cela nous amène au piège classique : les appareils existants. Que faites-vous des lecteurs de codes-barres vieux de dix ans dans votre entrepôt ou des anciens terminaux de point de vente qui ne prennent tout simplement pas en charge EAP-TLS ? La solution est la segmentation. Vous ne devez jamais dégrader la sécurité de votre réseau principal pour vous adapter au dénominateur commun le plus faible. Au lieu de cela, isolez ces anciens appareils sur un VLAN dédié. Vous pouvez utiliser l'authentification basée sur les adresses MAC combinée à des contrôles d'accès réseau stricts, garantissant que ces appareils ne peuvent communiquer qu'avec les serveurs internes spécifiques dont ils ont besoin, et absolument rien d'autre. Une fois que votre parc géré a entièrement migré vers EAP-TLS, vous pouvez enfin désactiver PEAP-MSCHAPv2 sur votre SSID d'entreprise principal, fermant ainsi définitivement la fenêtre de vulnérabilité. Faisons un rapide jeu de questions-réponses basé sur les interrogations les plus courantes des directeurs informatiques. Question un : « Le WPA3 résout-il le problème de PEAP-MSCHAPv2 ? » Réponse : Non. Le WPA3 améliore le chiffrement sur les ondes, mais la méthode d'authentification EAP sous-jacente reste la même. Si vous utilisez WPA3-Enterprise avec PEAP-MSCHAPv2, vous êtes toujours vulnérable à la capture d'identifiants via un Evil Twin si le client ne valide pas strictement le certificat du serveur. Question deux : « Qu'en est-il d'EAP-TTLS ? » Réponse : EAP-TTLS est préférable à PEAP car il隧道 l'authentification, utilisant souvent PAP au lieu de MSCHAPv2, ce qui évite les faiblesses cryptographiques spécifiques de MSCHAPv2. Cependant, il repose toujours sur des mots de passe et reste vulnérable si le certificat du serveur n'est pas validé. C'est une étape intermédiaire, mais EAP-TLS doit être l'objectif final. Question trois : « Quel est l'impact sur notre WiFi invité Purple ? » Réponse : Aucun impact direct. Le WiFi invité utilise généralement des réseaux ouverts avec des portails captifs ou du WPA2/3-Personal, qui sont distincts de votre authentification d'entreprise 802.1X. Cependant, la sécurisation de votre réseau administratif et technique est essentielle pour protéger l'infrastructure qui prend en charge toutes les opérations de votre site, y compris vos services invités et vos plateformes d'analyse. Pour résumer : PEAP-MSCHAPv2 nous a bien servi, mais son temps est révolu. Les failles cryptographiques sont publiques et les outils d'attaque sont automatisés. La migration vers EAP-TLS n'est plus un projet d'avant-garde ; c'est une mise à niveau standard et réalisable, grandement facilitée par les solutions MDM et PKI cloud modernes. Le risque de ne rien faire — un mot de passe Active Directory compromis entraînant une violation plus large du réseau — l'emporte de loin sur l'effort opérationnel de la migration. Commencez dès aujourd'hui par un audit de vos journaux RADIUS, identifiez vos appareils obsolètes et commencez à planifier votre transition vers l'authentification basée sur des certificats. Merci d'avoir écouté ce point technique Purple. Pour des guides de déploiement plus détaillés et des schémas d'architecture, n'hésitez pas à lire le guide de référence technique complet qui accompagne ce podcast.