Article de reference

Gestionnaire de réseau local

LAN Manager est un système d'exploitation réseau (NOS) abandonné, disponible auprès de plusieurs fournisseurs et développé par Microsoft en collaboration avec 3Com Corporation ....

LAN Manager est un système d'exploitation réseau (NOS) abandonné, disponible auprès de plusieurs fournisseurs et développé par Microsoft en collaboration avec 3Com Corporation . Il a été conçu pour succéder au logiciel serveur réseau 3+Share de 3Com , qui fonctionnait sous une version fortement modifiée de MS-DOS .

Histoire

Le système d'exploitation LAN Manager OS/2 a été développé conjointement par IBM et Microsoft , utilisant le protocole SMB ( Server Message Block ). À l'origine, il utilisait SMB sur la base du protocole NBF ( NetBIOS Frames ) ou d'une version spécialisée du protocole XNS (Xerox Network Systems ). Ces protocoles hérités provenaient de produits antérieurs tels que MS-Net pour MS-DOS , MS-Xenix et 3+Share, mentionné précédemment. Une version de LAN Manager pour les systèmes Unix, appelée LAN Manager/X, était également disponible. LAN Manager/X a servi de base au produit Pathworks de Digital Equipment Corporation pour OpenVMS , Ultrix et Tru64 .

Malgré le soutien de 3Com, IBM, Digital et Digital Communications Associates , PC écrivait en 1989 que LAN Manager « n’a eu qu’un impact très limité sur le marché et continue d’être boudé par les acheteurs » par rapport à Novell NetWare . L’union de ces entreprises « représente toutefois une menace potentielle importante », ajoutait le magazine. En 1990, Microsoft annonçait LAN Manager 2.0 avec de nombreuses améliorations, notamment la prise en charge de TCP/IP comme protocole de transport pour SMB, via NetBIOS sur TCP/IP (NBT). La dernière version de LAN Manager, la 2.2, basée sur le système d’exploitation MS-OS/2 1.31, est restée le système serveur stratégique de Microsoft jusqu’à la sortie de Windows NT Advanced Server en 1993.

Versions

  • 1987 – MS LAN Manager 1.0 (Basique/Amélioré)
  • 1989 – MS LAN Manager 1.1
  • 1991 – MS LAN Manager 2.0
  • 1992 – MS LAN Manager 2.1
  • 1992 – MS LAN Manager 2.1a
  • 1993 – MS LAN Manager 2.2
  • 1994 – MS LAN Manager 2.2a

De nombreux fournisseurs ont distribué des versions sous licence, notamment :

Algorithme de hachage de mot de passe

Le hachage LM est calculé comme suit :

  1. Le mot de passe de l'utilisateur est limité à un maximum de quatorze caractères.
  2. Le mot de passe de l'utilisateur est converti en majuscules .
  3. Le mot de passe de l'utilisateur est encodé dans la page de codes OEM du système .
  4. Ce mot de passe est complété par des caractères nuls jusqu'à 14 octets.
  5. Le mot de passe « à longueur fixe » est divisé en deux moitiés de 7 octets.
  6. Ces valeurs servent à créer deux clés DES , une pour chaque moitié de 7 octets, en convertissant les sept octets en un flux binaire, le bit de poids fort en premier, et en insérant un bit de parité après chaque groupe de sept bits (donc 7 octets 1010100devient 101010007 octets). Cela génère les 64 bits nécessaires à une clé DES. (Une clé DES est théoriquement composée de 64 bits ; cependant, seuls 56 d'entre eux sont réellement utilisés par l'algorithme. Les bits de parité ajoutés à cette étape sont ensuite supprimés.)
  7. Chacune des deux clés est utilisée pour chiffrer la chaîne ASCIIKGS!@#$% constante « » à l'aide du DES , ce qui produit deux valeurs chiffrées de 8 octets. Le mode de chiffrement DES doit être défini sur ECB et le mode de remplissage sur NONE.
  8. Ces deux valeurs chiffrées sont concaténées pour former une valeur de 16 octets, qui est le hachage LM.

faiblesses de sécurité

L'authentification LAN Manager utilise une méthode de hachage du mot de passe utilisateur particulièrement faible , appelée algorithme de hachage LM, datant du milieu des années 1980, époque où les virus transmis par disquettes représentaient une préoccupation majeure. Bien qu'il soit basé sur DES , un chiffrement par blocs bien connu , le hachage LM présente plusieurs faiblesses de conception. De ce fait, ces hachages peuvent être cassés en quelques secondes à l'aide de tables arc-en-ciel , ou en quelques minutes par force brute . À partir de Windows NT , il a été remplacé par NTLM , qui reste vulnérable aux tables arc-en-ciel et aux attaques par force brute, sauf si des mots de passe longs et imprévisibles sont utilisés (voir « craquage de mots de passe ») . NTLM est utilisé pour l'ouverture de session avec des comptes locaux, sauf sur les contrôleurs de domaine, car Windows Vista et les versions ultérieures ne conservent plus le hachage LM par défaut. Kerberos est utilisé dans les environnements Active Directory.

Les principales faiblesses du protocole d'authentification LAN Manager sont :

  1. La longueur du mot de passe est limitée à un maximum de 14 caractères choisis parmi les 95 caractères imprimables ASCII .
  2. Les mots de passe ne sont pas sensibles à la casse. Ils sont tous convertis en majuscules avant la génération de la valeur de hachage. Par conséquent, le hachage LM traite PassWord, password, PaSsWoRd, PASSword et autres combinaisons similaires de la même manière que PASSWORD. Cette pratique réduit efficacement l' espace de clés du hachage LM à 69 caractères.
  3. Un mot de passe de 14 caractères est divisé en 7 + 7 caractères, et le hachage est calculé séparément pour chaque moitié. Cette méthode de calcul du hachage facilite considérablement le piratage, car l'attaquant n'a besoin de tester par force brute que 7 caractères deux fois au lieu des 14. La force effective d'un mot de passe de 14 caractères est ainsi réduite à un niveau extrêmement faible.
  4. Si le mot de passe comporte 7 caractères ou moins, la seconde moitié du hachage produira toujours la même valeur constante (0xAAD3B435B51404EE). Par conséquent, un mot de passe de 7 caractères ou moins peut être identifié visuellement sans outil (bien que cela soit moins important face aux attaques par GPU à haute vitesse).
  5. La valeur de hachage est envoyée aux serveurs du réseau sans salage , ce qui la rend vulnérable aux attaques de type « homme du milieu », comme la réémission du hachage . Sans sel, les attaques par dictionnaire précalculé , exploitant le compromis temps-mémoire (par exemple, une table arc-en-ciel ), sont possibles. En 2003, Ophcrack , une implémentation de la technique de la table arc-en-ciel, a été publié. Il cible spécifiquement les faiblesses du chiffrement LM et inclut des données précalculées suffisantes pour casser la quasi-totalité des hachages LM alphanumériques en quelques secondes. De nombreux outils de cassage, tels que RainbowCrack , Hashcat , L0phtCrack et Cain , intègrent désormais des attaques similaires et rendent le cassage des hachages LM rapide et trivial.

Solutions de contournement

Pour pallier les failles de sécurité inhérentes aux systèmes de chiffrement et d'authentification LM, Microsoft a introduit le protocole NTLMv1 en 1993 avec Windows NT 3.1 . Pour le hachage, NTLM utilise la prise en charge d'Unicode , remplaçant `<md>` LMhash=DESeach(DOSCHARSET(UPPERCASE(password)), "KGS!@#$%")par `<md>` , ce qui évite tout remplissage ou troncature susceptible de simplifier la clé. En revanche, le même algorithme DES était utilisé avec un chiffrement de seulement 56 bits pour les étapes d'authentification suivantes, et aucun salage n'était encore implémenté. De plus, les machines Windows étaient configurées par défaut depuis de nombreuses années pour envoyer et recevoir des réponses dérivées à la fois du hachage LM et du hachage NTLM ; l'utilisation du hachage NTLM n'offrait donc aucune sécurité supplémentaire tant que le hachage LM, plus faible, était présent. Enfin, la levée des restrictions artificielles sur la longueur des mots de passe dans les outils de gestion tels que le Gestionnaire d'utilisateurs a également pris du temps.NThash=MD4(UTF-16-LE(password))

Bien que LAN Manager soit considéré comme obsolète et que les systèmes d'exploitation Windows actuels utilisent les méthodes d'authentification plus robustes NTLMv2 ou Kerberos , les systèmes Windows antérieurs à Windows Vista / Windows Server 2008 activaient par défaut le hachage LAN Manager pour assurer la rétrocompatibilité avec les anciens clients LAN Manager et Windows ME ou versions antérieures, ainsi qu'avec les anciennes applications compatibles NetBIOS . Il est recommandé depuis longtemps, par mesure de sécurité, de désactiver les protocoles d'authentification LM et NTLMv1 compromis lorsqu'ils ne sont pas nécessaires. À partir de Windows Vista et Windows Server 2008, Microsoft a désactivé le hachage LM par défaut ; cette fonctionnalité peut être activée pour les comptes locaux via un paramètre de stratégie de sécurité, et pour les comptes Active Directory en appliquant le même paramètre via la stratégie de groupe du domaine . La même méthode permet de désactiver cette fonctionnalité sous Windows 2000, Windows XP et NT. Les utilisateurs peuvent également empêcher la génération d'un hachage LM pour leur mot de passe en utilisant un mot de passe d'au moins quinze caractères. —Les hachages NTLM sont à leur tour devenus vulnérables ces dernières années à diverses attaques qui les rendent effectivement aussi faibles aujourd’hui que les hachages LanMan l’étaient en 1998.

Raisons du maintien de l'utilisation du hachage LM

De nombreuses implémentations SMB tierces traditionnelles ont mis beaucoup de temps à prendre en charge les protocoles plus robustes créés par Microsoft pour remplacer le hachage LM, car les communautés open source qui prennent en charge ces bibliothèques ont d'abord dû procéder à une ingénierie inverse des nouveaux protocoles : Samba a mis 5 ans pour ajouter la prise en charge de NTLMv2 , tandis que JCIFS a mis 10 ans.

Des politiques de mise à jour insuffisantes suite à la mise à disposition de cette fonctionnalité dans les logiciels ont contribué à ce que certaines organisations continuent d'utiliser le hachage LM dans leurs environnements, même si le protocole est facilement désactivable dans Active Directory lui-même.

Enfin, avant la sortie de Windows Vista, de nombreux processus de compilation sans assistance utilisaient encore un disque de démarrage DOS (au lieu de Windows PE ) pour démarrer l'installation de Windows à l'aide de WINNT.EXE, ce qui nécessite l'activation du hachage LM pour que l'ancienne pile réseau LAN Manager fonctionne.

Plus d articles de Worldlex Wiki

Revenez a l index pour explorer davantage de pages sur l histoire, la science, la culture, la geographie et la societe en francais.

Explorer l index