Aller au contenu principal

9.5.1. Risks of Weak or Null Message Authentication (Risques d'authentification de message faible ou nulle)

9.5.1. Risks of Weak or Null Message Authentication (Risques d'authentification de message faible ou nulle)

Lors d'un audit de sécurité considérant l'utilisation d'une authentification faible ou nulle, il est important de garder à l'esprit les attaques suivantes qui sont possibles lorsqu'aucun algorithme d'authentification de message n'est utilisé.

Un attaquant qui ne peut pas prédire le texte clair est toujours capable de modifier le message envoyé entre l'expéditeur et le récepteur de sorte qu'il se déchiffre en une valeur de texte clair aléatoire, ou d'envoyer un flux de paquets factices au récepteur qui se déchiffreront en valeurs de texte clair aléatoires. Cette attaque est essentiellement une attaque par déni de service, bien qu'en l'absence d'authentification de message, l'application RTP aura des entrées qui sont corrélées bit à bit avec la vraie valeur. Certains codecs multimédias et systèmes d'exploitation courants plantent lorsque de telles données sont acceptées comme données vidéo valides. Cette attaque par déni de service peut être une menace beaucoup plus grande que celle due à un attaquant qui supprime, retarde ou réordonne les paquets.

Un attaquant qui ne peut pas prédire le texte clair peut toujours rejouer un message précédent avec la certitude que le récepteur l'acceptera. Les applications avec des codecs sans état pourraient être robustes contre ce type d'attaque, mais pour d'autres applications plus complexes, ces attaques peuvent être beaucoup plus graves.

Un attaquant qui peut prédire le texte clair peut modifier le texte chiffré de sorte qu'il se déchiffre en n'importe quelle valeur de son choix. Avec un chiffrement par flux additif, un attaquant sera toujours capable de changer des bits individuels.

Un attaquant peut être capable de subvertir la confidentialité en raison du manque d'authentification lorsqu'une décision de transfert de données ou de contrôle d'accès est prise sur un texte clair déchiffré mais non authentifié. C'est parce que le récepteur peut être trompé pour transférer des données à un attaquant, conduisant à une violation indirecte de la confidentialité (voir Section 3 de [B96]). C'est parce que les décisions de transfert de données sont prises sur le texte clair déchiffré; les informations dans le texte clair détermineront vers quel sous-réseau (ou processus) le texte clair est transféré en mode tunnel ESP [RFC2401] (respectivement, mode transport). Lorsque RTP sécurisé est utilisé sans authentification de message, il doit être vérifié que l'application ne prend pas de décisions de transfert de données ou de contrôle d'accès basées sur le texte clair déchiffré.

Certains modes de chiffrement qui nécessitent un remplissage, par exemple le chaînage de blocs de chiffrement standard (CBC), sont très sensibles aux attaques sur la confidentialité si certains types de remplissage sont utilisés en l'absence d'intégrité. L'attaque [V02] montre que c'est bien le cas pour le remplissage RTP standard tel que discuté en référence à la Figure 1, lorsqu'il est utilisé avec le mode CBC. Les ajouts de transformation ultérieurs à SRTP DOIVENT donc examiner attentivement le risque d'utiliser ce remplissage sans protection d'intégrité appropriée.

Dernière mise à jour le