Faille de sécurité dans les réseaux privés virtuels de Microsoft

Le spécialiste allemand de sécurité des réseaux informatiques Phion vient de découvrir l’existence d’une importante faille de sécurité dans l’implémentation du protocole PPTP (Point to Point Tunneling Protocol) au sein de Windows 2000 et XP. Les réseaux privés virtuels établis avec ces systèmes d’exploitation sont donc vulnérables à des attaques extérieures et menacent la sécurité des intranets auxquels ils donnent accès. Particulièrement concernés, les utilisateurs de lignes DSL : le service PPTP de Microsoft écoute en permanence un port d’entrée/sortie dédié dans l’attente de requêtes.
Le risque repose sur un dépassement de mémoire tampon antérieur à l’authentification. Phion conseille de protéger par pare-feu le port PPTP des postes clients. Il n’a pas de solution à proposer pour les serveurs. Microsoft n’a pas encore reconnu l’existence de cette faille.