RADIUS (Remote Authentication Dial-In User Service) a traditionnellement fonctionné comme un protocole basé sur UDP, facilitant la communication entre les clients et les serveurs via des paires attribut-valeur (AVP) transmises en texte brut. RADIUS prend en charge différents mécanismes d’authentification, notamment PAP, PEAP, EAP-TLS, EAP-TTLS, MSCHAP, MSCHAPv2, EAP-MD5 et quelques autres.
L’utilisation du protocole RADIUS PAP sur UDP est particulièrement vulnérable, car l’AVP User-Password est chiffré en utilisant uniquement un secret partagé. Si un espion qui intercepte les communications accède au secret partagé, ou est capable de le deviner ou de le forcer par attaque brute, il peut l’utiliser pour déchiffrer l’AVP User-Password et obtenir un accès illégitime à l’appareil ou au réseau protégé.
Avec des protocoles comme PEAP, EAP-TTLS, MSCHAP, MSCHAPv2 et EAP-MD5, les identifiants ou les demandes d’authentification sont transmis au sein du protocole EAP à l’aide de l’AVP EAP-Message. Bien que certains protocoles EAP exigent le chiffrement des données via TLS (où un certificat de serveur valide le serveur pour le transfert chiffré des données), les détails du certificat du serveur dans l’AVP EAP-Message, l’attribut User-Name et d’autres AVP sont tout de même échangés en texte brut, comme indiqué ci-dessous. Cela signifie que des attaquants peuvent obtenir les détails du certificat du serveur (C=AU, ST=Some-State, O=Internet Widgits Pty Ltd) ainsi que d’autres informations client, compromettant la confidentialité même si la sécurité reste intacte.
Le protocole RADIUS basé sur UDP peut transporter EAP-TLS, un protocole très sécurisé basé sur des certificats (où le client et le serveur se valident mutuellement via un échange de certificats), mais la transmission en texte brut du protocole dans l’AVP EAP-Message permet toujours à des détails importants des certificats du serveur et du client (souvent y compris l’adresse e-mail de l’utilisateur) d’être visibles par des personnes à l’écoute, compromettant ainsi la confidentialité.
Une vulnérabilité récemment découverte pour les protocoles non basés sur EAP (PAP, CHAP) démontre une fois de plus les failles du protocole RADIUS basé sur UDP, car des attaquants peuvent potentiellement obtenir un accès au réseau sans connaître le secret partagé, comme indiqué sur https://blastradius.fail/attack-details.
Il est important de distinguer, dans ce contexte, une violation de la vie privée d’une violation de la sécurité. Une violation de la confidentialité se produit lorsque les informations utilisateur de la transaction deviennent visibles pour des personnes indiscrètes, tandis qu’une violation de la sécurité implique qu’un attaquant parvienne à obtenir un accès non autorisé au réseau — un scénario nettement plus grave.
Bien que le protocole EAP-TLS basé sur UDP, le plus sécurisé, soulève encore des préoccupations en matière de confidentialité, RadSec offre une protection complète contre les vulnérabilités liées à la confidentialité comme à la sécurité.
RadSec représente une amélioration majeure de la sécurité en encapsulant l’ensemble des échanges du protocole RADIUS dans un tunnel TCP sécurisé établi via un TLS mutuel. Cette approche :
Établit un tunnel sécurisé et chiffré via une authentification mutuelle basée sur des certificats avant tout échange de données, garantissant que le client et le serveur vérifient tous deux l’identité de l’autre.
Fournit des connexions TCP persistantes basées sur le protocole mutual TLS entre le client et le serveur, offrant une résistance aux pertes de paquets courantes avec UDP
Empêche toute écoute clandestine même si le trafic réseau est intercepté, car les données ne peuvent pas être déchiffrées sans accès aux certificats de chiffrement
Élimine la dépendance à un seul secret partagé pour la sécurité du transport
En offrant une protection renforcée pour l’ensemble de l’échange de protocoles, RadSec répond non seulement de manière exhaustive aux préoccupations de sécurité, mais aussi aux problèmes de confidentialité de la couche transport présents dans les implémentations RADIUS traditionnelles basées sur UDP, ce qui en fait un protocole globalement plus sécurisé.
Illustration UDP RADIUS
La capture Wireshark ci-dessous démontre clairement comment EAP-TLS RADIUS basé sur UDP présente ses vulnérabilités inhérentes en matière de confidentialité. La capture de paquets révèle plusieurs échanges RADIUS entre le client et le serveur RADIUS, montrant la séquence complète des messages Access-Request et Access-Challenge avec leurs identifiants de paquets correspondants.
En examinant la section inférieure de la capture, on voit la charge utile RADIUS, qui affiche les paires attribut-valeur (AVP) contenant des informations d’authentification sensibles. Cela inclut l’attribut User-Name avec la valeur "random@foxpass.com" ainsi que d’autres attributs tels que NAS-Identifier et Called-Station-Id. Le vidage hexadécimal détaillé à droite affiche le contenu brut des paquets transférés à l’aide d’AVP, exposant clairement les informations du nom d’utilisateur, ainsi que les détails des certificats du serveur et du client (sujet du certificat : CN=Test Client, O=Test Organization, C=US) — une préoccupation majeure en matière de confidentialité.
Ce problème de confidentialité, en plus des préoccupations de sécurité évoquées dans la section ci-dessus, est précisément ce que RadSec a été conçu pour résoudre. En encapsulant ces échanges dans un tunnel TLS sécurisé créé via une validation mutuelle des certificats, RadSec évite d’exposer ces informations sensibles à d’éventuels indiscrets. Même le mécanisme d’authentification le moins sécurisé de RADIUS, PAP, est très sûr avec RadSec.
Comment fonctionne RadSec
RadSec renforce la sécurité en encapsulant les échanges du protocole RADIUS traditionnel dans un tunnel TLS sécurisé, garantissant que tous les transferts de données client-serveur restent chiffrés. Contrairement à son prédécesseur basé sur UDP, RadSec établit une connexion TCP persistante dans laquelle les deux parties s’authentifient mutuellement à l’aide de certificats X.509 lors d’une poignée de main TLS mutuelle. Cette validation bidirectionnelle robuste crée un tunnel chiffré avant toute transmission de données RADIUS.
Une fois ce canal sécurisé établi, les paquets RADIUS standard (Access-Request, Access-Challenge, etc.) transitent dans cette couche chiffrée, les protégeant efficacement contre les tentatives d’écoute et de falsification. La connexion persistante est maintenue tout au long de la session, offrant des améliorations significatives en matière d’efficacité et de sécurité par rapport à l’approche UDP RADIUS, sujette à la perte de paquets.
Grâce au modèle de confiance basé sur les certificats, RadSec élimine les principales faiblesses de sécurité du RADIUS traditionnel, à savoir en matière de confidentialité et de sécurité. Fonctionnant généralement sur le port TCP 2083 (bien que cela soit configurable), RadSec offre une protection complète de l’ensemble du canal de communication. Cette approche complète rend RadSec très résistant à l’écoute de paquets, aux attaques par rejeu et aux attaques de l’homme du milieu.
RadSec chez Foxpass : une infrastructure d’authentification mondiale, évolutive et à faible latence
Nous avons créé une authentification RADIUS avec une implémentation RadSec de pointe, performante, fiable et accessible à l’échelle mondiale.
Notre service RadSec est conçu pour répondre aux exigences de connectivité les plus élevées dans des environnements mondiaux variés. Nous avons créé une architecture multi-tenant évolutive horizontalement, où les clients qui se connectent à nos serveurs se connectent toujours au serveur disponible le plus proche.
Proximité mondiale, connectivité instantanée, gestion sans effort
Notre déploiement mondial garantit que chaque client se connecte au serveur RadSec le plus proche, réduisant considérablement la latence et améliorant les temps de réponse. Un seul nom d’hôte DNS est fourni aux clients, mais les clients se connectent automatiquement au serveur le plus optimal en fonction de la proximité géographique.
Le RadSec de Foxpass prend en charge deux options pour gérer les certificats clients. Soit Foxpass peut émettre des certificats depuis notre autorité de certification partagée, soit les clients peuvent facilement téléverser leurs certificats d’autorité de certification via notre console intuitive, qui propage rapidement ces identifiants sur l’ensemble de notre réseau mondial de serveurs, garantissant que seuls les clients authentifiés obtiennent l’accès.
Évolutivité et performances sans précédent
Chacune de nos instances de serveur RadSec est conçue pour gérer plus de 15 000 connexions simultanées, offrant une authentification robuste et fiable à une échelle répondant aux exigences des entreprises.
Points clés
Implémentation évolutive horizontalement et multitenant de RadSec
Réseau mondial de serveurs avec routage intelligent
Capacité de connexion massive (15 000+ connexions par instance)
Expérience d’authentification fluide et à faible latence
Démarrez avec Foxpass dès aujourd’hui
Prêt à améliorer la sécurité de votre authentification ? Foxpass offre une protection de niveau entreprise, des performances mondiales et un déploiement sans tracas. Que vous sécurisiez les identifiants des utilisateurs ou gériez l'accès basé sur des certificats à grande échelle, notre implémentation RadSec garantit que vos données restent privées et protégées.
Démarrez votre essai gratuit de Foxpass dès aujourd’hui et découvrez la différence d’une infrastructure d’authentification sécurisée, évolutive et moderne.
Remerciements :
Nous tenons à remercier toute l’équipe d’avoir rendu cela accessible à nos clients dans le monde entier.
