Source: https://nvd.nist.gov/vuln/detail/CVE-2024-3661By design, the DHCP protocol does not authenticate messages, including for example the classless static route option (121). An attacker with the ability to send DHCP messages can manipulate routes to redirect VPN traffic, allowing the attacker to read, disrupt, or possibly modify network traffic that was expected to be protected by the VPN. Many, if not most VPN systems based on IP routing are susceptible to such attacks.
Faille concernant tous les VPN.
-
- ⭐Modérateur en chef ⭐
- Messages : 18101
- Enregistré le : 31 oct. 2017, 18:35
- Localisation : Tx
- A remercié : 789 fois
- A été remercié : 822 fois
Faille concernant tous les VPN.
- Ces utilisateurs ont remercié l’auteur Mackguil pour son message :
- Unix-Linux
Internet: Fiber XS Edpnet 35.95, TV Télésat + Fransat 16 euros, Tél fixe OVH + Betamax 2.5 euros, Mobile orange 1.5 euros, Molotov TV bouquet Extended 9.99.
Merci Edpnet de proposer des tarifs attractifs, pour le téléphone fixe et l'internet.
+-66 euros/mois pour du quadruple play fibré, les alternatives existent, si l'on ajoute l'abonnement mobile Français avec 200 Gigas, minutes et sms illimités, on arrive à 82 euros.il faut juste oser !
Merci Edpnet de proposer des tarifs attractifs, pour le téléphone fixe et l'internet.
+-66 euros/mois pour du quadruple play fibré, les alternatives existent, si l'on ajoute l'abonnement mobile Français avec 200 Gigas, minutes et sms illimités, on arrive à 82 euros.il faut juste oser !
-
- ⭐Modérateur en chef ⭐
- Messages : 14309
- Enregistré le : 01 nov. 2017, 12:15
- Localisation : https://www.liege.be/fr/evenements/agenda
- A remercié : 971 fois
- A été remercié : 1325 fois
Re: Faille concernant tous les VPN.
C'est pas neuf. Si!? Ou c'est DNS qui a le même genre de faille ?
Internet: _ [passé: EDPNet - Scarlet - dxADSL - Scarlet One (NL) - Cybernet - Compuserve] + Fritz!Box 7490+4040 + rep.310
TV: TCL 50" UHD/HDR Android TV + Fransat + TNT belge + Parabole multi-LNB (5°W + 13°E +19.2E + 28.2°E)
Tel Fixe: VOIP OVH (abonnement découverte) + 4x Fritz!Fon C5
Tel Mobile: abo Base15 - Poco M3 avec ROM Custom crDroid
Raspberry Pi: 3B: [Debian Buster/Sid] NAS 12TB OMV4
TV: TCL 50" UHD/HDR Android TV + Fransat + TNT belge + Parabole multi-LNB (5°W + 13°E +19.2E + 28.2°E)
Tel Fixe: VOIP OVH (abonnement découverte) + 4x Fritz!Fon C5
Tel Mobile: abo Base15 - Poco M3 avec ROM Custom crDroid
Raspberry Pi: 3B: [Debian Buster/Sid] NAS 12TB OMV4
-
- ⭐ Membre VIP donateur ⭐
- Messages : 8506
- Enregistré le : 10 nov. 2017, 21:50
- Localisation : Ou la caravane sait se garer.
- A remercié : 218 fois
- A été remercié : 442 fois
Re: Faille concernant tous les VPN.
This vulnerability is currently awaiting analysis.
Many, if not most VPN systems based on IP routing are susceptible to such attacks.
Détails :
TunnelVision (CVE-2024-3661): How Attackers Can Decloak Routing-Based VPNs For a Total VPN LeakRecently, we identified a novel network technique that bypasses VPN encapsulation. An attacker can use this technique to force a target user’s traffic off their VPN tunnel using built-in features of DHCP (Dynamic Host Configuration Protocol). The result of this is the user transmits packets that are never encrypted by a VPN, and an attacker can snoop their traffic. We are using the term decloaking to refer to this effect.
Enfin, ici, c'est pas grave car le VPN du forum est pas cher et en plus il est pas à notre nom
Voo duo + CI, parabole Triax Multifeed 4 LNB + OVH VoIP + DAB+ RTL2832U R820T2
Raspberry Pi 4 + NAS / DietPi v9.4.2
Main O.S : Debian Bookworm / FreeBSD 15 aarch64
Server : ubuntu Noble Numbat 24.04
Anciennement : EDPnet VDSL XL - Scarlet - Brutele - RealRoot
vî trigu : sacwè ki n' sieve pus.
Raspberry Pi 4 + NAS / DietPi v9.4.2
Main O.S : Debian Bookworm / FreeBSD 15 aarch64
Server : ubuntu Noble Numbat 24.04
Anciennement : EDPnet VDSL XL - Scarlet - Brutele - RealRoot
vî trigu : sacwè ki n' sieve pus.
-
- Habitué ⭐⭐
- Messages : 269
- Enregistré le : 10 janv. 2018, 12:36
- A remercié : 2 fois
- A été remercié : 57 fois
Re: Faille concernant tous les VPN.
Toujours éviter les réseaux publics, même avec un VPN.
Les volumes data des abonnements mobiles permettent largement d'utiliser le partage de connexion à la place, tant qu'il s'agit d'un usage ponctuel.
Plus problématique en voyage hors UE, faute de roaming inclus, dans des pays moins démocratiques...
Les volumes data des abonnements mobiles permettent largement d'utiliser le partage de connexion à la place, tant qu'il s'agit d'un usage ponctuel.
Plus problématique en voyage hors UE, faute de roaming inclus, dans des pays moins démocratiques...
-
- ⭐Modérateur en chef ⭐
- Messages : 18101
- Enregistré le : 31 oct. 2017, 18:35
- Localisation : Tx
- A remercié : 789 fois
- A été remercié : 822 fois
Re: Faille concernant tous les VPN.
Internet: Fiber XS Edpnet 35.95, TV Télésat + Fransat 16 euros, Tél fixe OVH + Betamax 2.5 euros, Mobile orange 1.5 euros, Molotov TV bouquet Extended 9.99.
Merci Edpnet de proposer des tarifs attractifs, pour le téléphone fixe et l'internet.
+-66 euros/mois pour du quadruple play fibré, les alternatives existent, si l'on ajoute l'abonnement mobile Français avec 200 Gigas, minutes et sms illimités, on arrive à 82 euros.il faut juste oser !
Merci Edpnet de proposer des tarifs attractifs, pour le téléphone fixe et l'internet.
+-66 euros/mois pour du quadruple play fibré, les alternatives existent, si l'on ajoute l'abonnement mobile Français avec 200 Gigas, minutes et sms illimités, on arrive à 82 euros.il faut juste oser !
-
- ⭐Modérateur en chef ⭐
- Messages : 14309
- Enregistré le : 01 nov. 2017, 12:15
- Localisation : https://www.liege.be/fr/evenements/agenda
- A remercié : 971 fois
- A été remercié : 1325 fois
Re: Faille concernant tous les VPN.
Le DPI ça existe toujours.
Internet: _ [passé: EDPNet - Scarlet - dxADSL - Scarlet One (NL) - Cybernet - Compuserve] + Fritz!Box 7490+4040 + rep.310
TV: TCL 50" UHD/HDR Android TV + Fransat + TNT belge + Parabole multi-LNB (5°W + 13°E +19.2E + 28.2°E)
Tel Fixe: VOIP OVH (abonnement découverte) + 4x Fritz!Fon C5
Tel Mobile: abo Base15 - Poco M3 avec ROM Custom crDroid
Raspberry Pi: 3B: [Debian Buster/Sid] NAS 12TB OMV4
TV: TCL 50" UHD/HDR Android TV + Fransat + TNT belge + Parabole multi-LNB (5°W + 13°E +19.2E + 28.2°E)
Tel Fixe: VOIP OVH (abonnement découverte) + 4x Fritz!Fon C5
Tel Mobile: abo Base15 - Poco M3 avec ROM Custom crDroid
Raspberry Pi: 3B: [Debian Buster/Sid] NAS 12TB OMV4
-
- ⭐Modérateur en chef ⭐
- Messages : 18101
- Enregistré le : 31 oct. 2017, 18:35
- Localisation : Tx
- A remercié : 789 fois
- A été remercié : 822 fois
Re: Faille concernant tous les VPN.
Internet: Fiber XS Edpnet 35.95, TV Télésat + Fransat 16 euros, Tél fixe OVH + Betamax 2.5 euros, Mobile orange 1.5 euros, Molotov TV bouquet Extended 9.99.
Merci Edpnet de proposer des tarifs attractifs, pour le téléphone fixe et l'internet.
+-66 euros/mois pour du quadruple play fibré, les alternatives existent, si l'on ajoute l'abonnement mobile Français avec 200 Gigas, minutes et sms illimités, on arrive à 82 euros.il faut juste oser !
Merci Edpnet de proposer des tarifs attractifs, pour le téléphone fixe et l'internet.
+-66 euros/mois pour du quadruple play fibré, les alternatives existent, si l'on ajoute l'abonnement mobile Français avec 200 Gigas, minutes et sms illimités, on arrive à 82 euros.il faut juste oser !
-
- ⭐Modérateur en chef ⭐
- Messages : 14309
- Enregistré le : 01 nov. 2017, 12:15
- Localisation : https://www.liege.be/fr/evenements/agenda
- A remercié : 971 fois
- A été remercié : 1325 fois
Re: Faille concernant tous les VPN.
Tu ne sais jamais ce qui tourne derrière un réseau public. Surtout dans les hotels et aéroports.
Quand on a un représentant qui part dans un pays moins démocratique, on lui fourni un laptop clean et un phone clean aussi. Techniquement, il part en slip. On lui fourni même des sacs "Faraday". Et à son retour, c'est reformatage complet de la machine.
Quand on a un représentant qui part dans un pays moins démocratique, on lui fourni un laptop clean et un phone clean aussi. Techniquement, il part en slip. On lui fourni même des sacs "Faraday". Et à son retour, c'est reformatage complet de la machine.
Internet: _ [passé: EDPNet - Scarlet - dxADSL - Scarlet One (NL) - Cybernet - Compuserve] + Fritz!Box 7490+4040 + rep.310
TV: TCL 50" UHD/HDR Android TV + Fransat + TNT belge + Parabole multi-LNB (5°W + 13°E +19.2E + 28.2°E)
Tel Fixe: VOIP OVH (abonnement découverte) + 4x Fritz!Fon C5
Tel Mobile: abo Base15 - Poco M3 avec ROM Custom crDroid
Raspberry Pi: 3B: [Debian Buster/Sid] NAS 12TB OMV4
TV: TCL 50" UHD/HDR Android TV + Fransat + TNT belge + Parabole multi-LNB (5°W + 13°E +19.2E + 28.2°E)
Tel Fixe: VOIP OVH (abonnement découverte) + 4x Fritz!Fon C5
Tel Mobile: abo Base15 - Poco M3 avec ROM Custom crDroid
Raspberry Pi: 3B: [Debian Buster/Sid] NAS 12TB OMV4
-
- Habitué ⭐⭐
- Messages : 220
- Enregistré le : 26 juil. 2021, 17:09
- A remercié : 26 fois
- A été remercié : 20 fois
Re: Faille concernant tous les VPN.
OUI...mais
A priori si je me connecte à un VPN, sauf l'envoi de ma clé "publique" tout le trafic est raisonnablement protégé.
Celui qui copie ma clé publique, ne peut pas l'utiliser (en captant le trafic) car il lui faut ma clé privée pour lire le retour.
Si ma communication est détournée par une usurpation d'adresse (dns), je peux me retrouver sur un site pirate.
Encore faut-il que ce site simule parfaitement celui que je voulais atteindre initialement.
A moins de me RE-demander mes mots de passe et de se faire passer pour "moi" ensuite, je ne vois pas ce qui est possible.
Si je me trompe....merci de m'expliquer ce qui pourrait se passer avec ce type d'attaque
A priori si je me connecte à un VPN, sauf l'envoi de ma clé "publique" tout le trafic est raisonnablement protégé.
Celui qui copie ma clé publique, ne peut pas l'utiliser (en captant le trafic) car il lui faut ma clé privée pour lire le retour.
Si ma communication est détournée par une usurpation d'adresse (dns), je peux me retrouver sur un site pirate.
Encore faut-il que ce site simule parfaitement celui que je voulais atteindre initialement.
A moins de me RE-demander mes mots de passe et de se faire passer pour "moi" ensuite, je ne vois pas ce qui est possible.
Si je me trompe....merci de m'expliquer ce qui pourrait se passer avec ce type d'attaque
Un homme sérieux a peu d'idées, un homme d'idées n'est jamais sérieux - P. Valery
-
- ⭐ Membre VIP donateur ⭐
- Messages : 8506
- Enregistré le : 10 nov. 2017, 21:50
- Localisation : Ou la caravane sait se garer.
- A remercié : 218 fois
- A été remercié : 442 fois
Re: Faille concernant tous les VPN.
Il s'agit d'une nouvelle technique réseau qui contourne l’encapsulation VPN. Un attaquant peut utiliser cette technique pour forcer le trafic d'un utilisateur cible à quitter son tunnel VPN à l'aide des fonctionnalités intégrées de DHCP
Le résultat est que l’utilisateur transmet des paquets qui ne sont jamais cryptés par un VPN et qu’un attaquant peut espionner leur trafic.
Une route DHCP option 121 malveillante qui empêche le chiffrement du trafic par le processus VPN et le trafic transmis est en dehors du tunnel crypté du VPN
Le résultat est que l’utilisateur transmet des paquets qui ne sont jamais cryptés par un VPN et qu’un attaquant peut espionner leur trafic.
Une route DHCP option 121 malveillante qui empêche le chiffrement du trafic par le processus VPN et le trafic transmis est en dehors du tunnel crypté du VPN
- Ces utilisateurs ont remercié l’auteur Unix-Linux pour son message :
- grumeur
Voo duo + CI, parabole Triax Multifeed 4 LNB + OVH VoIP + DAB+ RTL2832U R820T2
Raspberry Pi 4 + NAS / DietPi v9.4.2
Main O.S : Debian Bookworm / FreeBSD 15 aarch64
Server : ubuntu Noble Numbat 24.04
Anciennement : EDPnet VDSL XL - Scarlet - Brutele - RealRoot
vî trigu : sacwè ki n' sieve pus.
Raspberry Pi 4 + NAS / DietPi v9.4.2
Main O.S : Debian Bookworm / FreeBSD 15 aarch64
Server : ubuntu Noble Numbat 24.04
Anciennement : EDPnet VDSL XL - Scarlet - Brutele - RealRoot
vî trigu : sacwè ki n' sieve pus.
-
- Habitué ⭐⭐
- Messages : 220
- Enregistré le : 26 juil. 2021, 17:09
- A remercié : 26 fois
- A été remercié : 20 fois
Re: Faille concernant tous les VPN.
je te lis et te remercie.
Ai-je bien compris la méthode:
Si l'utilisateur "A" veut aller sur le site "C" mais est dérouté (via son DNS) sur un site malveillant "B" (qui sait où A voudrait aller), le site "B" va créer une liaison criptée A<>B, la voir en clair et, à son tour, faire suivre par une liaison criptée B<>C .
Pour un VPN "classique" les clés sont fixes et connues à l'avance, par l'utilisateur et le VPN et donc "non interceptables" car non-échangées.
Le piratage doit donc se faire en aval du VPN qui lui devrait être en DHCP... ce qui doit être rare.
Ai-je bien compris la méthode:
Si l'utilisateur "A" veut aller sur le site "C" mais est dérouté (via son DNS) sur un site malveillant "B" (qui sait où A voudrait aller), le site "B" va créer une liaison criptée A<>B, la voir en clair et, à son tour, faire suivre par une liaison criptée B<>C .
Pour un VPN "classique" les clés sont fixes et connues à l'avance, par l'utilisateur et le VPN et donc "non interceptables" car non-échangées.
Le piratage doit donc se faire en aval du VPN qui lui devrait être en DHCP... ce qui doit être rare.
Un homme sérieux a peu d'idées, un homme d'idées n'est jamais sérieux - P. Valery
-
- ⭐ Membre VIP donateur ⭐
- Messages : 8506
- Enregistré le : 10 nov. 2017, 21:50
- Localisation : Ou la caravane sait se garer.
- A remercié : 218 fois
- A été remercié : 442 fois
Re: Faille concernant tous les VPN.
Non grumeur, ça n'a rien à voir avec le DNS, mai bien à propos du DHCP option 121
Quasiment tous les VPN sujets à une mise sous surveillance depuis des années déjàLa technique, baptisée TunnelVision (CVE-2024-3661), a été découverte par le Leviathan Security Group. Cela revient en fait à dire qu’un utilisateur connecté à un réseau contrôlé par un agresseur court le risque que sa connexion soit espionnée via un VPN, alors qu’il lui semble être connecté en toute sécurité.
Voo duo + CI, parabole Triax Multifeed 4 LNB + OVH VoIP + DAB+ RTL2832U R820T2
Raspberry Pi 4 + NAS / DietPi v9.4.2
Main O.S : Debian Bookworm / FreeBSD 15 aarch64
Server : ubuntu Noble Numbat 24.04
Anciennement : EDPnet VDSL XL - Scarlet - Brutele - RealRoot
vî trigu : sacwè ki n' sieve pus.
Raspberry Pi 4 + NAS / DietPi v9.4.2
Main O.S : Debian Bookworm / FreeBSD 15 aarch64
Server : ubuntu Noble Numbat 24.04
Anciennement : EDPnet VDSL XL - Scarlet - Brutele - RealRoot
vî trigu : sacwè ki n' sieve pus.
-
- Habitué ⭐⭐
- Messages : 220
- Enregistré le : 26 juil. 2021, 17:09
- A remercié : 26 fois
- A été remercié : 20 fois
Re: Faille concernant tous les VPN.
pour ceux qui s'intéressent
un complément d'explication par korben !
https://korben.info/tunnelvision-faille ... nnees.html
un complément d'explication par korben !
https://korben.info/tunnelvision-faille ... nnees.html
- Ces utilisateurs ont remercié l’auteur grumeur pour son message :
- tntuner
Un homme sérieux a peu d'idées, un homme d'idées n'est jamais sérieux - P. Valery