Une contribution du spécialiste de la sécurité IT McAfee à propos de la vulnérabilité Krack portant sur l’accès Wi-Fi.
Le Wi-Fi est partout : dans les cafés, les centres commerciaux, les gares, etc. Son succès repose sur sa grande commodité ainsi que sur le fait qu’il constitue une alternative à une connexion Internet en tous lieux.
L’implémentation des algorithmes de chiffrement WPA et WPA2 a permis de renforcer la sécurité de ces réseaux. Mais jusqu’à quel point peut-on se connecter sur un réseau Wi-Fi sans se soucier des risque encourus ?
Des chercheurs en sécurité ont révélé la semaine dernière une faille dans le protocole de chiffrement WPA2, censé protéger les échanges de données via Wi-Fi.
Baptisée KRACK, cette vulnérabilité permettrait de pénétrer n’importe quel réseau Wi-Fi, d’intercepter et de déchiffrer des données, y compris des mots de passe et des messages, qui ne devraient pourtant pas être accessibles.
Quel est le mécanisme de cette faille ? Face à des menaces toujours plus sophistiquées et systématiques, la sécurité des réseaux Wi-Fi est-elle en péril ?
KRACK est une vulnérabilité présente dans l’implémentation même de WPA2, permettant de modifier ou d’intercepter des données échangées entre le client et le point d’accès Wi-Fi.
Dans certains cas, elle permet également d’introduire des malwares directement sur les pages visitées par la victime.
Toutefois, il est à noter que cette attaque ne se réalise que dans des conditions particulières. Elle ne peut réussir uniquement que si ces dernières sont toutes réunies.
Une faiblesse dans l’implémentation WPA2
Tout d’abord, cette attaque affecte la norme Wi-Fi 802.11i et notamment le protocole WPA2, qui est la version la plus sécurisée de WPA, basé sur le protocole CCMP (Counter-Mode/CBC-Mac Protocol). Le protocole WPA1 est également impacté par cette vulnérabilité.
Ensuite, elle exploite une vulnérabilité présente lors de la « poignée de main » (4-way handshake).
Cette opération s’effectue lorsqu’un dispositif se connecte sur le point d’accès Wi-Fi. Elle est utilisée pour s’assurer que les deux dispositifs (le client et le point d’accès) détiennent les bons identifiants nécessaires à la connexion. On parle alors de clefs partagées.
Lors de cette poignée de main, une clef de chiffrement est générée et partagée avec le client. Cette clef permet le chiffrement du trafic une fois l’opération terminée.
L’attaque KRACK réside dans le fait qu’il est possible de manipuler et rejouer les messages échangés lors de la poignée de main afin de forcer la réinstallation de la clef de chiffrement. En effet, pour garantir la sécurité, une clef de chiffrement devrait être utilisée une seule fois. Ce qui n’est pas le cas dans l’implémentation de WPA2.
De cette manière, un attaquant est en mesure d’intercepter les communications entre le point d’accès et le client en utilisant l’attaque de « l’homme du milieu » (Man-In-The-Middle).
Dans quelle(s) condition(s) ?
Il est à noter que cette vulnérabilité, bien que critique, n’est pas facilement exploitable car elle ne fonctionne pas avec toutes les configurations.
En effet, les chercheurs ont mis en exergue que le comportement du client peut différer en fonction du système et de la carte Wi-Fi installée. Pour que cette attaque fonctionne, elle doit donc réunir les conditions nécessaires à son succès.
Par ailleurs, les communications à destination de sites web implémentant correctement le protocole HTTPS (version chiffrée du protocole HTTP) ne peuvent pas être lues par l’attaquant.
Les chercheurs ont néanmoins démontré qu’une attaque de type « SSL Strip », permettant de rediriger le trafic HTTPS vers du trafic HTTP (autrement dit non sécurisé), pouvait être effectué sur certains sites web.
L’ampleur des dégâts
Pratiquement tous les systèmes permettant une connexion Wi-Fi sont vulnérables et notamment les systèmes Linux et Android utilisant le composant wpa_supplicant en version 2.4 et plus (composant utilisé pour la gestion du WPA). Pour ces systèmes, la clef de chiffrement réinstallée lors de l’attaque est paramétrée avec des zéros rendant l’exploitation triviale. A l’heure actuelle, les versions 6.0 et au-dessus d’Android sont concernées par cette faille. Ce qui représente 50 % des téléphones Android.
Quelle(s) solution(s) ?
La protection face à ce type d’attaque dépend principalement de la réactivité des différentes parties prenantes.
Cependant, quelques mesures peuvent d’ores et déjà être appliquées telles que la mise à jour des systèmes impactés et des micrologiciels (firmware) des routeurs Wi-Fi.
Notons tout de même qu’une mise a jour des firmwares peut nécessiter un certain temps avant sa mise à disposition par les constructeurs.
Dans le cas contraire, les bonnes pratiques en matière de sécurité sur les réseaux Wi-Fi restent de mise.
Citons quelques-unes des recommandations partagées par les professionnels de la sécurité, dont l’ANSSI :
– Ne pas consulter de sites sensibles (banque, réseaux sociaux, etc.) sur un réseau non-maitrisé;
– Maintenir et utiliser des logiciels de sécurité (anti-malware, firewall…);
– Favoriser les connexions HTTPS et vérifier les connexions;
– Utiliser autant que possible des réseaux privés virtuels (VPN).
Les réseaux Wi-Fi sont une composante des systèmes d’information qui nécessite, au même titre que les réseaux filaires, une surveillance accrue ainsi qu’une attention particulière lors de connexions au cours de déplacements dans des endroits publics (café, restaurant, hôtel, aéroport, etc.).
De toutes évidence, la vulnérabilité KRACK ne sera pas la dernière concernant les réseaux Wi-Fi et nous rappelle que la sécurité informatique nécessite un travail de veille et d’alerte constant.
