Une faille critique pour les réseaux Wi-Fi


Le protocole de sécurité des réseaux Wi-Fi modernes, le WPA2, comporte une faille majeure. Mathy Vanhoef, chercheur de l'université néerlandophone belge KU Leuven, est en effet parvenu à manipuler le processus de négociation (le handshake) qui permet d'établir un lien entre deux appareils. Dans une démonstration de ce qu'il appelle KRACK Attack, pour "Key Reinstallation Attacks", il arrive à décrypter toutes les télécommunications envoyées par un smartphone sous Android, et récupère alors les identifiants de son utilisateur. Il serait bien sûr également possible de récupérer un numéro de carte bancaire, la liste des sites web visités, ou même d'injecter ou manipuler des données lors de leur transfert...




Cette faille du protocole WPA2 concerne les appareils de tous les fabricants, quel que soit le système d'exploitation. Le Mac et les appareils iOS sont donc vulnérables à une attaque de ce type, et il faudra qu'Apple propose des mises à jour du firmware de ses produits pour corriger la faille. En attendant, Mathy Vanhoef conseille de continuer à utiliser le protocole WPA2, qui reste le plus sécurisé malgré cette faille. Notez d'ailleurs qu'aucune utilisation malveillante de cette faille n'a été recensée pour le moment, mais il faudra surveiller l'évolution de cette dernière : les réseaux Wi-Fi publics, s'il ne sont pas mis à jour, pourraient rapidement devenir dangereux à utiliser...

Mise à jour 9:08 :
Apple a indiqué à Rene Ritchie que la faille KRACK a déjà été corrigée dans les versions bêtas de ses systèmes d'exploitation (lire : Nouvelles bêtas pour iOS, watchOS et tvOS). Le déploiement du correctif pour le grand public est donc prévu pour très bientôt.


PARTAGER SUR :

Sur le même sujet

Vos réactions (21)

LolYangccool

16 octobre 2017 à 19:14

Bon, je désactive le Wi-Fi de mon routeur Synology jusqu'à la prochaine mise à jour (qui ne tardera pas j'espère)...

Gaius

16 octobre 2017 à 20:02

A ce tarif arrête internet a tout jamais, tout est contournable avec +/- d'effort...

Sethenès

16 octobre 2017 à 20:06

Tout va devoir être patché : TV connectée, caméra IP, tablettes, Smartphones, ordinateurs, Box des cablos, tous les appareils connectés qu'il soit électroménager ou de domotique sans fil, les lampes connectées, les capteurs distants des stations météos ...

Sethenès

16 octobre 2017 à 20:09

D'autre part, si j'ai bien lu, la faille est connue depuis 1,5 mois déjà mais tenue secrète jusqu'ici et Debian a déjà proposé un patch de correction.

Hangaroa

16 octobre 2017 à 20:58

Et quand je pense que ma Free box Crystal est en wpa

LolYangccool

16 octobre 2017 à 21:02

Gaius : Non, là c'est assez grave quand même comme faille, vu la quantité d'appareils qui utilisent ce protocole.

Hangaroa : C'est le mieux, hein, le WPA(2), le plus sécurisé malgré cette faille.
Le WEP ça se craque très rapidement...

jeanpaul2

16 octobre 2017 à 21:35

Arrétez de faire stresser tout le monde. Le wpa n'es pas là pour sécuriser la connection! C'est le https. Le wpa c'est pour controler qui se connecte à la borne rien de plus.
Ne naviguer que sur des site en https et tout ira bien.

aexm

16 octobre 2017 à 22:14

Oui WPA est régulièrement "attaqué"
et y'a 2 ans il me semble que des failles avaient été révélées,
MAIS celle ci est plus embêtante.
De plus, tout est en wifi aujourd'hui le cout des mises à jour va être important !

Cela nécessite qd même d'être a proximité du réseau … et si on est en AES c'est un peu moins grave … et tout dépend de l’implémentation aussi … selon les OS ont ne voit pas tout.

@Sethenes : Ubiquiti (borne wifi) a également publié des patch (comme Debian).

@jeanpaul 2 : le pb avec les équipements sans fil sont les app …
c'est que tu maitrises pas comment elles se connectent …
Je suppose que c'est secure mais tu ne "vois" pas explicitement comment elle se connecte (à part utiliser wireshark hein …).

C'est ici le pb.

Sinon bien sur tout le temps utiliser des connexions https (via VPN si possible pour l'entreprise) et mot de passe long avec un password manager … bottes ceinture bretelles …
Idem pass long pour wifi.

@ Sylvain : voir un code de carte bleu implique qu'il n'y a pas de connexion https. Ca devient rare (ou que l'attaquant à les moyens de casser TLS = armée ou NAS).
Ce qui est plus à craindre c'est effectivement des attaques man in middle avec injection de code etc …

--

Un client hier a râlé parce que je lui ai envoyé des mots de passe par mail …
J'ai eu beau lui expliqué que les mails sont cryptés (via TLS et non chiffré certes) …
il a fallu que je change tous ses pwd alors qu'il accèdent en VPN https et double auth.

Une politique de sécurité doit pouvoir permettre le vol d'identifiant et la connaissance de l'archi …

Hangaroa

16 octobre 2017 à 23:09

@ Lol
Pour ma Crystal je précise que je suis en WPA (TKIP + AES) et pas en WPA2.. qui n'est pas pris en charge.. et sur mon iPhone et iPad j'ai un message d'avertissement qui m'indique que la sécurité est "faible"... et hormis changer de box (en cours) je ne vois pas quoi faire.. ça existe encore le WEP

VanZoo

17 octobre 2017 à 00:41

La faille vient d'être corrigée par Apple ! : https://www.mac4ever.com/actu/126078_apple-a-deja-corrige-la-faille-wpa2-krack

LolYangccool

17 octobre 2017 à 08:55

Hangaroa : Désactive le Wi-Fi sur ta box et achète un vrai routeur digne de ce nom !

Fromgardens

17 octobre 2017 à 09:55

C'est surtout qu'il faudrait déjà avoir un mec très bon + mal intentionné qui a très envie de voir ce qu'il y a sur votre réseau perso, dans votre voisinage Wi-Fi. Ce qui est quand même peu probable (et le ratio effort/gain doit pas être très élevé).

Et de toute façon partir du principe d'avoir des fichiers très important partagés en Wi-Fi -même sans connaître cette faille- c'est déjà pas un réflexe sécurité.

LolYangccool

17 octobre 2017 à 10:09

« Et de toute façon partir du principe d'avoir des fichiers très important partagés en Wi-Fi -même sans connaître cette faille- c'est déjà pas un réflexe sécurité. »
Oui, sauf que tu oublies qu'il y a des appareils qui ne peuvent se connecter à un LAN qu'en Wi-Fi : iPhone, iPad, certains PC et Mac par exemple, et que du coup, si tu veux accéder à ces-dis fichiers importants, tu n'as pas d'autres choix que d'utiliser le Wi-Fi.

pehache

17 octobre 2017 à 10:32

Apple irresponsable sur ce coup là. Ils ont corrigé la faille... dans les versions beta !! Ridicule. Quand on corrige une faille critique connue il faut pousser la MAJ immédiatemment. Microsoft a déployé la correction sur Windows depuis le 10 octobre.

LolYangccool

17 octobre 2017 à 10:57

J'avoue.

VanZoo

17 octobre 2017 à 14:03

On attend qu'Android s'y mette !
Ah zut, la flotte ne peut être mise à jour (facilement)

pehache

17 octobre 2017 à 14:36

- "Quoi ? Tu as eu un 5 en maths ?? Tu peux expliquer ça ?"

- "Oh eh, il y a pire que moi : il y a en un qui a 3 !"

VanZoo

17 octobre 2017 à 19:27

Les hackers s'attaquent d'abord et principalement au système dominant, à savoir Windows et ... Android
Recommences, t'auras une meilleure note en maths la prochaine fois

pehache

17 octobre 2017 à 22:48

C'est une faille dans le protocole wifi lui-même, peu importe l'OS. Le hackeur qui veut exploiter cette faille va attaquer la communication wifi, sans même avoir besoin de savoir quel OS et matériel il y a derrière.

Apple n'a aucune excuse pour ne pas déjà avoir déployé le correctif. Ah si, ils étaient en train de bosser sur les émojis, pardon...

Zéro pointé, Vanzoo.

VanZoo

17 octobre 2017 à 23:50

Bon, t'as remporté une bataille !

Mais beaucoup en ont marre des mises à jour à répétition (sans trop savoir à quoi elles servent)

Les emojis, je crois t'avoir expliqué la raison et la stratégie d'Apple

LolYangccool

19 octobre 2017 à 17:47

Synology a apparemment corrigé la faille, mise à jour proposée sur mon RT2600Ac.
https://www.synology.com/fr-fr/releaseNote/RT2600ac#ver_6542-3

VanZoo : Si les gens en ont marre des mises à jour à répétition Apple doit arrêter les mises à jour a la con et donner priorité aux mises à jour de sécurité comme celle-là et non pas l'inverse !

Réagir
Vous devez être connecté à notre forum pour pouvoir poster un commentaire.

Plus loin Connexion
Plus loin Inscription