Une faille dans le WPA2 met le Wi-Fi en danger

Mickaël Bazoge |

Le WPA2, le mécanisme censé sécuriser les réseaux Wi-Fi, présente une sérieuse faille de sécurité. Un malandrin pourrait être en mesure de surveiller le trafic qui transite entre un ordinateur et un point d'accès via un réseau sans fil soi-disant protégé en WPA2.

C'est la découverte d'un chercheur belge en sécurité de l'université KU Leuven (Louvain), déjà présentée succinctement en août durant une conférence Black Hat, et qui sera décrite plus précisément ce lundi. Une démonstration de faisabilité de la vulnérabilité, baptisée KRACK (pour Key Reinstallation Attacks), devrait en confirmer la dangerosité aujourd'hui.

Un Github et un site web ont été mis en place, ils pourraient contenir plus d'informations dans la journée. Le 1er novembre, une présentation plus détaillée aura lieu durant une conférence ACM à Dallas.

L'US-CERT, le service en charge des cas d'urgence informatique attaché au Département de la Sécurité intérieure des États-Unis, a récemment prévenu une centaine d'organisations de l'existence de cette vulnérabilité qui touche la plupart des réseaux des particuliers et des entreprises.

Leur exploitation (notamment de la phase d'authentification 4-Way Handshake indispensable à la clé pour le trafic chiffré) permettrait à des margoulins de déchiffrer des communications, de pirater des connexions TCP, d'injecter du contenu HTTP, et autres joyeusetés.

Selon ArsTechnica, deux sociétés (Aruba et Ubiquiti), qui fournissent des points d'accès aux grandes entreprises et aux agences gouvernementales, ont déjà développé des correctifs pour, sinon boucher les trous, au moins faire en sorte de réduire les risques.

Pour le grand public, on attendra les révélations des chercheurs mais il y a fort à parier que la grande majorité des points d'accès ne seront pas mis à jour de si tôt (s'ils le sont un jour).

Se protéger d'une telle faille à l'heure actuelle n'a rien d'évident. On peut éviter d'utiliser un réseau Wi-Fi en passant par l'Ethernet par exemple, ne surfer qu'avec des protocoles de sécurité fiables (comme le HTTPS) et si possible au travers d'un VPN.

avatar ZorakZoran | 

Des margoulins ?
C’est abracadabrant !

avatar Kensei68 | 

Tu aurais préféré des flibustiers ?

avatar simnico971 | 

Croquignolesque.

avatar kazede | 

@simnico971

Excellent ?.

avatar Vivarais07 | 

En attendant, on est dans une sacré m... pardon, dans un sacré capharnaüm...

avatar hirtrey | 

@vivarais07

Comme le dit l’article utilises un service VPN.

avatar r e m y | 

@hirtrey

Créer un VPN attractif, c'est aussi un bon moyen de filtrer toutes les communications de tous ceux qui choisissent votre VPN pour se mettre à l'abri...

Quand on choisit un VPN, faut avoir totale confiance dans le prestataire retenu à qui on confie TOUTES ses communications internet !

avatar C1rc3@0rc | 

@r e m y

+1000
D'autant plus que le fournisseur du VPN commercial, il dispose de l'identite certifiée de chacund de ses utilisateurs, ça avec les log de connexions...

Un ami expert en securité compare un VPN commercial a une potentielle attaque "man in the middle" a ceci pres que l'attaquant on le connait et on s'y connecte et en plus on le paye!!!

avatar RyDroid | 

Ou un réseau sur Internet avec chiffrement, comme Tor.

avatar C1rc3@0rc | 

@vivarais07

Heu en fait on y est depuis 2004.
A priori ce que les chercheurs ont "decouvert" c'est un backdoor.
Donc, si on ajoute celui-la avec celui de hearbleed, les "recentes" decouvertes dans les proc Intel, et la longue liste des "imbecilités" de codage qui sont mis au jour depuis... les revelation de Snowden, on est dans une situation ou aujourd'hui on sait une chose: aucun reseau informatique n'est securisé ni securisable.

maintenant, on met ça en relation avec les lois scelerates qu'enfilent les gouvernements de maniere coordonnée sous pretexte de lutte contre le terrorisme et on obtient un pur immondice anti-democratique... qui a parlé de la France ou sous pretexte d'Hadopi, l'utilisateur est coupable de ne pas securiser son reseau wifi (oui, si on se fait pirater son wifi, en France, on est encore plus coupable que le pirate, un comble, et pourtant ça a ete voté)

Je vais encore le repeter, comme a chaque "decouverte" du genre: toute information qui passe sur un reseau interconnecté est une information publique!
Le seule protection c'est le chiffrement fort dans l'application et tout ce qui sort et qui rentre dans un appareil informatique doit etre chiffré!

Pour ce qui est du WPA2 dont il est question, n'importe quel expert en securité le dit, le Wifi (comme le BT) ce sont des passoires, c'est pas nouveau. Certains appareils pourront etre "flashé" pour combler la faille revelée ici, peu le seront et une majorité ne pourront pas l'etre!

Il faut comprendre que le reseau est une chaine et que sa securité depend du maillon le plus faible.
Si certains routeurs pourront etre patché, ce sera pas le cas des camera Wifi et autres objets connectés.
Quand a tous les appareils "obsolescents par programmation", s'ils sont toujours fonctionnels malgré l'absence de support, ils ne seront jamais mis a jour: a commencer par les smartphones, box TV et settopbox, les haut parleur, les tocantes, la majorité des NAS GP,...

Allez, on ressort les cables ethernet (quand on a encore un connecteur ethernet), on coupe le Wifi quand on en a pas besoin, et on desencloud tout ce qu'on peut...

avatar jackhal | 
avatar Nicolas R. | 

@Jackhal : pourquoi perdre ton temps si tu t'en fous ? Tu n'es pas indispensable tu sais...

@C1rc3@0rc : je ne suis pas d'accord sur un point, le Cloud. En mettant en place des mesure de sécurité suffisante, tu peux encadrer ton usage et cela rend bien des services.
Simplement, oui le Cloud tel qu'il est appliqué aujourd'hui (car peu de pression des utilisateurs), c'est une passoire. Des méthodes/protocoles de chiffrements comme AES, PGP, SSLv3, SHA1 sont robustes et ce n'est pas là où ça cloche. Les solutions se trouvent encore dans la formation, la sensibilisation, la configuration pas dans la technique.

avatar jackhal | 

CF le commentaire de RyDroid ci-dessous. HearTbleed non plus n'était pas une backdoor. Aucun article que j'ai lu sur KRACK ne parle de backdoor.
Alors si on voit des backdoors partout, on peut embrancher sur un bloc "Snowden/Hadopi/démocratie", mais avec de mauvaises bases, ça ne sert à rien.

Ou encore le "Je vais encore le repeter, comme a chaque "decouverte" du genre: toute information qui passe sur un reseau interconnecté est une information publique!".

Là, vu ta réponse, j'ai pas besoin de te convaincre que c'est faux.

Quant à ce que tu ajoutes :

"Les solutions se trouvent encore dans la formation, la sensibilisation, la configuration pas dans la technique."

Dans la technique aussi en fait. Par exemple TouchID évite que les gens aient des codes qu'ils composent en public 100x par jour, et FaceID est à priori encore plus sécurisé.
D'un autre coté, on se souvient tous de l'iPhone du terroriste de San Bernardino qui était problématique à débloquer... alors que s'il avait mis en place TouchID, ça n'aurait pas été un problème.
Et que ça ait été un faux prétexte pour demander une backdoor (une VRAIE backdoor) ou pas, peu importe : un bon vieux code/mot de passe est une forme de sécurité qui peut être supérieure à une protection biométrique, suivant les cas, la legislation (par exemple aux USA on peut te forcer à déverrouiller avec le doigt, mais pas t'obliger à donner ton mot de passe... et je dois dire que pour la France, je n'en sais rien) etc.

Mais concrètement, pour les utilisateurs lambda, il y a deux possibilités :
1. Expliquer aux utilisateurs qu'ils doivent vérifier que personne ne les regarde quand ils saisissent leur mot de passe, qui ne doit pas être trivial et être assez long. Et le faire 100x par jour.
2. Trouver une alternative (par la technique) pour qu'ils n'aient pas de mot de passe à composer en public.

Si tu ne choisis que la 1 en ignorant la 2... bon courage pour arriver à faire en sorte que les utilisateurs se conforment à tes recommandations.

avatar RyDroid | 

> A priori ce que les chercheurs ont "découvert" c'est un backdoor.

Une porte dérobée (ou backdoor en anglais) est une erreur de conception en terme de sécurité qui a été introduite volontairement. À ma connaissance, rien ne permet d'accréditer cette thèse dans ce cas. C'est peut être le cas, mais mieux vaut prendre des pincettes plutôt que d'être aussi affirmatif.

> les "récentes" découvertes dans les processeurs Intel

Pour les personnes ne sachant pas à quoi il fait référence :
https://libreboot.org/faq/#intelme
https://fsf.org/blogs/community/active-management-technology
https://boingboing.net/2017/05/09/management-engine.html
https://www.eff.org/deeplinks/2017/05/intels-management-engine-security-hazard-and-users-need-way-disable-it

> toute information qui passe sur un réseau interconnecté est une information publique!

Il ne faut pas non plus exagérer. La NSA se serait par exemple cassé les dents sur PGP, ZRTP et OTR.
http://www.tomshardware.com/news/nsa-resistant-open-source-tools,28273.html

> Le seule protection c'est le chiffrement fort dans l'application et tout ce qui sort et qui rentre dans un appareil informatique doit être chiffré !

C'est certes nécessaire de chiffrer à minima de point-à-point, et c'est mieux que ce soit aussi le cas de bout-en-bout, mais ce n'est pas suffisant.
Il faut avoir confiance dans l'application et le système d'exploitation sur-lequel est repose. Cela nécessite de pouvoir librement auditer, modifier et partager les potentiels modifications. Le logiciel libre est donc une autre condition nécessaire, mais à elle seule pas suffisante non plus.
De plus, comme tu l'as précédemment fait remarquer, il faut aussi pouvoir avoir confiance dans le matériel et le potentiel bootloader qui l'initialise (mais là on retombe sur le logiciel libre).

> n'importe quel expert en sécurité le dit, le Wi-Fi (comme le Bluetooth) ce sont des passoires, c'est pas nouveau.

Source(s) ?

> on desencloud tout ce qu'on peut...

On peut aussi s'auto-héberger (par exemple via YunoHost) ou miser sur une association locale comme les CHATONS.
http://www.auto-hebergement.fr/
https://chatons.org/fr/

avatar Darkomen78 | 

Aruba c'est HPE depuis un petit moment...

avatar TyrellWellick | 

Intéressant ...:)

avatar NAVY7GAS | 

Est ce que ça met à nu un Nas ; peuvent ils avoir accès sans rien faire de compliqué ?

avatar coloribus | 

C'est bon pour ma 3ème lettre Hadopi ça.

avatar lamainfroide | 

Diantre, qu'ouies-je ?
Marots et manants de tous poils seraient dans la capacité de nuire par l'entremise d'une faille dans ce protocole pourtant donné pour protéger des attaques scélérates.
Les bras m'en tombent.
Je ne sais à quel saint me vouer.
Je l'avoue tout de go, j'ai le calcif qui tremble.

avatar Vivarais07 | 

Et le filtrage des adresses Mac sur sa box ou son routeur, c’est réellement efficace ? Si oui, est-ce une solution ?
Merci pour vos lumières.

avatar _Teo_ (non vérifié) | 

@vivarais07

Non ce n'est une mesure de sécurité, les adresses MAC sont spoofables et c'est très facile à faire.

avatar C1rc3@0rc | 

@vivarais07

Disons que ça permet de se proteger des scriptkiddiez "grand debutants" ou tres cretins... ce qui fait deja pas mal de nuisibles en moins. Et a condition d'en plus activer le masquage du nom du reseau.

Surtout ce sera toujours une "défense" lorsque le grand bete et mechant Hadopi viendra t'accuser de piratage de la dernière série coréenne, dont tu ignores tout jusqu'au nom. Et ça permettra a ton avocat de lutter contre ta qualification en terroriste international parce que ton Wifi est une passoire...

Mais, techniquement, c'est relativement facile a contourner.

Donc c'est un peu comme le Bac: si on l'a ça sert quasi a rien, si on l'a pas ça pénalise beaucoup.

Il faut etre honnete: les protocoles de "securité" du WIFI n'arretent que tres peu de monde. Ceux qui sont un peu competents, meme avant la revelation de cette faille, s'ils voulaient utiliser ton Wifi savaient le faire. Ceux au courant de cette backdoor, avaient un avantage de vitesse seulement. Le probleme avec la revelation de cette backdoor c'est que les scriptkiddiez vont avoir un nouveau jouet et qu'ils vont emmerder beaucoup plus de monde.

avatar Nicolas R. | 

Je ne sais pas pourquoi je lis encore les commentaires ici vu les 99% de commentaires poubelles...
AH SI ! Pour le 1% de commentaires bien écrit et plein de bon sens, comme le vôtre.
Effectivement, la faille date de plusieurs années. Dommage que les bloggeurs et/ou journalistes ne remontent pas aux sources de l'information. Confondant toujours "vulnérabilité" et les besoins pour leurs exploitations. Comme ceux, qui en 2017, continuent à mélanger hackers, crackers & scripts kiddies.
Ce qu'il faut craindre sont les scripts kiddies, tout à fait !

avatar Nicolas R. | 

D'aucune utilité pour ceux cherchant à pénétrer ton réseau et pas un autre. Comme le masquage du SSID. Une impression de sécurité.
Maintenant, cela peut servir dans le cas où le mec cherche un réseau random pour l'accès aux internets.

CONNEXION UTILISATEUR