KRACK : failles critiques pour WPA2 et la sécurisation des réseaux Wi-Fi

Le par  |  19 commentaire(s)
KRACK-logo

Un vent de panique souffle. Des failles critiques affectent le protocole WPA2 utilisé pour la sécurisation des réseaux Wi-Fi.

MàJ : le site dédié aux attaques KRACK a été mis en ligne.

-----

Pour la sécurisation des réseaux sans fil Wi-Fi, le protocole Wi-Fi Protected Access (WPA) a pris la succession de Wired Equivalent Privacy (WEP) afin de pallier les différentes failles l'affectant. Des chercheurs en sécurité vont dévoiler des failles critiques touchant WPA2.

alerteMathy Vanhoef et Frank Piessens de KU Leuven et imec-DistriNet sont inscrits à la conférence ACM sur la sécurité informatique et des communications à Dallas aux États-Unis pour y présenter le 1er novembre des attaques KRACK (Key Reinstallation AttaCK) permettant de contourner la sécurité WPA2.

Le nom de Mathy Vanhoed figure également au programme de la conférence Black Hat Europe 2017 à Londres en décembre pour présenter des vulnérabilités touchant la gestion des clés de chiffrement dans WPA2. Il est évoqué une exploitation avec des attaques de réinstallation de clé, et un problème au niveau du protocole lui-même.

Toutefois, une divulgation devrait intervenir dès aujourd'hui via le site Krackattacks.com. Sur GitHub, une page appartenant à Mathy Vanhoed en prélude à cette publication a par ailleurs été repérée.

Selon Ars Technica, une dizaine de numéros CVE ont été réservés afin d'identifier les vulnérabilités en rapport avec KRACK : CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 et CVE-2017-13088.

Le site indique également qu'une alerte de l'US-CERT a déjà été diffusée auprès d'une centaine d'organisations. Elle évoque des vulnérabilités au niveau de la procédure d'authentification 4-Way Handshake dans le protocole WPA2.

Grâce à l'exploitation des vulnérabilités (par un attaquant à proximité), l'US-CERT fait allusion à du déchiffrement des flux, de l'usurpation d'identité, le détournement de connexions TCP, l'injection de contenu HTTP et autres. Et ce n'est donc pas un problème de mauvaise implémentation du protocole…

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1984890
Iglouli a écrit :

aie


Tout est dit
Le #1984891
Bon bah plus qu'à rester câblé.
Le #1984892
ouch fait mal ca....


Anonyme
Le #1984893
Voilà pourquoi je n'utilise jamais le wifi quand je peux l'éviter...
Le #1984895
``So again, update all your devices once security updates are available.``

Va y avoir du boulot en espérant que les patchs arrivent rapidement....
Le #1984898
moowoom a écrit :

``So again, update all your devices once security updates are available.``

Va y avoir du boulot en espérant que les patchs arrivent rapidement....


C'est mort avec tous les routeurs qui n'ont pas de mécanismes de MAJ automatique, tous les objets connectés, les vieux smartphones plus supportés etc.... c'est mort de chez mort...

Quelque part cest une mauvaise nouvelle (WPA2 n'a jamais été 100% safe) et quelque part une bonne (maintenant qu'on le sais on va pouvoir modifier le protocole)

Peut être que certaines agences gouvernementales étaient déjà au courant de ces faiblesses...


Le #1984902
iFlo59 a écrit :

Bon bah plus qu'à rester câblé.


Avec les smartphones, ça craint
Le #1984906
skynet a écrit :

iFlo59 a écrit :

Bon bah plus qu'à rester câblé.


Avec les smartphones, ça craint


En même temps Free Mobile ou SFR qui offrent 100 Go de data ... sur le smartphone, c'est plus que suffisant ... donc on peut facilement se passer du wifi pour le smartphone.

En revanche, pour l'ordinateur portable qui n'est pas dans la même pièce ... hormis le CPL sinon pas évident.
Le #1984911
FRANCKYIV a écrit :

skynet a écrit :

iFlo59 a écrit :

Bon bah plus qu'à rester câblé.


Avec les smartphones, ça craint


En même temps Free Mobile ou SFR qui offrent 100 Go de data ... sur le smartphone, c'est plus que suffisant ... donc on peut facilement se passer du wifi pour le smartphone.

En revanche, pour l'ordinateur portable qui n'est pas dans la même pièce ... hormis le CPL sinon pas évident.


Oui je suis souvent en 4G chez moi, mais ça marche toujours moins bien qu'un bon adsl car on est dans les murs (j'ai une ou zéro barre). Et ça consomme plus que le wifi dont le signal est excellent.
Ceci dit, en attendant que la faille soit comblée en effet on peut rester en 4G
Suivre les commentaires
Poster un commentaire
Anonyme