KRACK : plus de peur que de mal (pour l’instant) pour la faille WPA 2/WiFi

Mise à jour 17/10/2017 18h28 : Informations supplémentaires sur les produits Aerohive et Netgear.

Après la frayeur, la raison. Et le constat que finalement l’industrie réagit de manière raisonnable et proportionnée aux menaces de sécurité qui touchent régulièrement les systèmes informatiques. La divulgation des failles de sécurité sur le protocole WPA2 hier lundi, sous le vocable de KRACK Attack, laissaient craindre le pire pour les utilisateurs de ce réseau sans fil.

 

Mais le travail coordonné de la communauté de la cybersécurité semble d’une certaine manière avoir plutôt bien fonctionné. Les chercheurs à l’origine de la découverte des failles de sécurité ont joué le jeu.

Avant de rendre publique les vulnérabilités, ils ont contacté par exemple l’ICASI (International Consortium for Advancement of Cybersecurity on the Internet), organisme qui rassemble des acteurs majeurs de l’industrie. Cet organisme mentionne avoir rapidement notifié ses membres et initié un travail coordonné pour trouver des solutions. Microsoft affirme par exemple avoir poussé un patch sur la question dès le 10 octobre dernier.

Un paquet de bon élèves

Mikrotik, se félicite également de l’étanchéité du système maison RouterOS (v6.39.3, v6.40.4, v6.41rc). Pourquoi ? Parce que les chercheurs qui ont divulgué la faille ont contacté Mikrotik avant de la rendre publique. Conséquence : les développeurs de Mikrotik ont eu eux aussi le temps de pondre un patch et de le livrer la semaine dernière. Une saine démarche, à condition toutefois que les clients et les gestionnaires de réseau prennent la peine de télécharger ces dernières versions et de les installer.

Idem chez Aruba (HPE), de nombreuses versions d’ArubaOS et Aruba Instant sont touchées, tout comme des appareils de la marque (Aruba 501 et Aruba AirMesh MSR). Des patches sont disponibles dès à présent précise le fournisseur. D’autres ont été moins rapides mais sont sur la bonne voie.

Cisco reconnaît par exemple que de nombreux produits sans fil de la marque (en fait une quarantaine) sont touchés par ces vulnérabilité. Des patches sont en cours de distribution et la marque devrait contacter les clients rapidement pour les inciter à les déployer.

Netgear annonce de son côté avoir « déjà publié des correctifs pour
certains équipements et continue à travailler pour mettre à disposition, au plus vite, les mises à jour pour le reste des produits ». La liste
des produits touchés est disponible sur cette page.

Juniper pour sa part concède que les vulnérabilités touchent Junos OS 12.1X46 et ScreenOS 6.3 ainsi que divers produits. Le fournisseur promet une mise à jour (MSS 9.2.1, 9.6.5) et encourage très fortement à physiquement déconnecter le Wi-Fi jusqu’au déploiement du patch.

Chez Intel, moins d’une dizaine de produits sont affectés par la vulnérabilité (famille de produits Intel Dual Band Wireless-AC). L’entreprise prévoit de publier une mise à jour « début novembre 2017 pour prendre en compte les vulnérabilités WPA2 identifiées ». Jusqu’à cette date, l’entreprise recommande de configurer son Active Management Technology en mode TLS. Intel rajoute que les versions 2.x à 7.x de son outil ne recevront pas de mises à jour, car elle ne sont plus supportées.

De même du côté de Aerohive le dossier KRACK est toujours à l’étude et l’avis rendu ce jour sera complété avec « plus de détails » le 31 octobre prochain. Reste que des produits de la gamme sont affectés par les vulnérabilités. Le fournisseur recommande de mettre à jour les versions de HiveOS (8.1r2a, 6.5r9, et 6.7r4) « dès qu’elles seront disponibles », soit pas avant le 20 octobre prochain.

Une telle latence dans le traitement des vulnérabilités présentées hier comme cataclysmiques pour le Wi-Fi et l’Internet s’explique également par la difficulté à mener à bien une attaque de ce type. Le spécialiste en sécurité informatique Kevin Beaumont affirme que les conditions nécessaires pour réaliser une telle attaque en conditions réelles sont compliquées à réunir. « Vous avez besoin de compétences incroyablement élevées, et d’être à proximité d’une station de base Wi-Fi pour réaliser l’attaque » dit-il.

Le point de vue des CERT

Reste que les alertes des CERT sont toujours utiles à la prise de conscience des utilisateurs. Le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) a émis un bulletin d’alerte sur le sujet, basant son analyse sur les éléments divulgués sur la page Key Reinstallation Attacks – Breaking WPA2 by forcing nonce reuse.

« Il est possible lors de l’établissement d’une session de communication utilisant le protocole WPA/WPA2 d’interférer sur le mécanisme en quatre temps visant à assurer la confidentialité des échanges » mentionne le CERT-FR. « Lors de cette phase d’initialisation, un utilisateur malveillant interceptant les communications entre un client et un point d’accès Wi-fi, peut amener le client à réutiliser des paramètres entrant en compte dans le chiffrement des données échangées ». De quoi permettre à l’attaquant un accès aux données de la victime. (lire Faille majeure dans WPA2/Wi-Fi : que faire, qui est concerné ?)

Une page du CERT-US mentionne l’ensemble des systèmes touchés ou suspectés de l’être. Une saine lecture puisque l’on se rend compte qu’au de là des gros fournisseurs qui ont rapidement agi et communiqué, une foultitude d’autres sont encore en train d’inspecter leurs systèmes.

A noter également que du côté de l’opérateur Free, un responsable technique pour la partie logiciel de la Freebox, Maxime Bizon, assure que les produits Freebox Révolution et Mini4k et Crystal « ne sont pas affectés ». La non activation du mode FT (802.11r) et l’utilisation d’un VPN « par dessus le wi-fi » semble protéger les clients de l’opérateur des risques de l’attaque KRACK.

Enfin, OpenBSD et Linux ont également sorti un patch en avance de phase. Les éditeurs des distributions Linux devraient rapidement distribuer leurs propres versions du patch.

De son côté le Wi-Fi Alliance, l’organisme en charge de la gestion de l’écosystème de ce protocole, assure que les principaux fournisseurs ont d’ors et déjà commencé à déployer des patches de sécurité en direction de leurs clients. Et il tente de calmer le jeu. « Les utilisateurs peuvent s’attendre à ce que leurs appareils Wi-Fi, qu’ils soient patchés ou non, continuent de fonctionner correctement » assure l’association, qui précise qu’il n’ya « pas de preuve que la vulnérabilité ait été exploitée de manière malhonnête » à ce stade.

Preuve de la dimension sociétale du problème, le Ministère de l’Intérieur à également souhaité alerter sur la dangerosité des failles, via un tweet.


ZDNet vous accompagne

5 applications pour analyser les réseaux Wi-Fi

ZDNet