Wi-Fi : Une faille majeure du protocole WPA2 permet d’écouter le trafic

Une faille de sécurité dans le protocole Wi-Fi Protected Access II permet à des pirates d’intercepter le trafic Wi-Fi entre les ordinateurs et les points d’accès.

 

La grande majorité des points d’accès existants ne sont pas susceptibles d’être patchés rapidement, et certains peuvent ne pas être patchés du tout. Un vrai problème puisque les attaquants peuvent écouter le trafic Wi-Fi à proximité lorsqu’il passe entre les ordinateurs et les points d’accès. Cela pourrait également signifier qu’il est possible de créer de faux paramètres Dynamic Host Configuration Protocol (DHCP), ouvrant la porte aux hacks impliquant le service de nom de domaine (DNS) des utilisateurs.

Bien que cela paraisse compliqué, voire impossible, la seule recommandation qu’il est possible d’effectuer à ce jour, c’est d’éviter d’utiliser le Wi-Fi autant que possible jusqu’à ce qu’un patch soit en place. Lorsque le Wi-Fi est la seule option de connexion, les utilisateurs doivent utiliser HTTPS, STARTTLS, Secure Shell et d’autres protocoles fiables pour chiffrer le trafic Web et le courrier électronique entre les ordinateurs et les points d’accès.

Divulgation coordonnée

Le site krackattacks.com propose un exposé déjà fort complet de l’attaque et des moyens de se protéger. Les textes sont dignés par Mathy Vanhoef et Frank Piessens de KU Leuven et imec-DistriNet, Maliheh Shirvanian et Nitesh Saxena de l’Université de l’Alabama (Birmingham), Yong Li de Huawei Technologies (Düsseldorf) et Sven Schäge de la Ruhr-Universität Bochum en Allemagne.

Le Proof of Concept se nomme KRACK, soit l’abréviation de Key Reinstallation Attacks. Ce travail de recherche a été gardé secret pendant des semaines avant la divulgation coordonnée prévue ce lundi. L’avis a été distrbué par le CERT US (Computer Emergency Response Team) a environ 100 organisations.

« Le CERT-US a pris connaissance de plusieurs vulnérabilités majeures (…) du protocole de sécurité Wi-Fi Protected Access II (WPA2). L’impact de l’exploitation de ces vulnérabilités inclut le décryptage, la relecture de paquets, le piratage de connexion TCP, l’injection de contenu HTTP et autres. Notez qu’en tant que problèmes détectés au niveau du protocole, la plupart voire toutes les implémentations correctes de la norme sont affectées. Le CERT / CC et le chercheur de Ku Leuven, divulgueront publiquement ces vulnérabilités le 16 octobre 2017 ».

Problème de chiffrement

Les vulnérabilités peuvent être exploitées en utilisant la procédure en quatre temps qui permet de créer une clé pour chiffrer le trafic. Au cours de la troisième étape, la clé peut être renvoyée plusieurs fois. Quand elle est renvoyé d’une certaine manière, elle peut être utilisée pour passer les limites du chiffrement. Les vulnérabilités sont à présent indexées de la manière suivante : CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017 -13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

Il semble selon Ars Technica que les fournisseurs Aruba et Ubiquiti disposent déjà de mises à jour pour corriger ou atténuer les vulnérabilités. La description complète des vulnérabilités devrait être effectuée le 1er novembre prochain à la Conférence ACM (Dallas).

ZDNet