Edition du 16/04/2004 - par Marc Olanié

Le « group password » n'est pas, il faut le reconnaître, d'un usage très fréquent. Il reste fort utile dans le cadre de points d'accès « publiques » ou d'ouvertures de segments peu sensibles. La dernière alerte publiée par Cisco prévient ses usagers de ses VPN IPSec que, si le mot de passe de groupe est bel et bien crypté sur disque, il ne l'est plus en mémoire. Des risques certains de viol sont alors envisageable, d'autant plus que deux « preuves de faisabilité », tant sous Linux que sous Windows, permettent soit d'obtenir le mot de passe, soit de détourner la cession en cours lors d'une attaque « man in the middle » (in Bugtraq, par Thor Lancelot Simon ). Il n'existe pas de correctif à ce problème, l'équipementier incitant ses clients à utiliser une infrastructure PKI pour éviter les désagréments du mot de passe communautaire. Précisons que si cette alerte est signée Cisco, la faille étant à son origine est susceptible de frapper d'autres éditeurs, ainsi que le précise son découvreur.