KRACK ou le Wi-Fi et ses données mises à nues (les « 4 mains » qui comptent multiples) !

Couper à un endroit n’endigue parfois pas le problème : pire il peut réapparaître et à plusieurs endroits ; Une dure leçon qu’est en train de subir le WPA2, l’actuel protocole sécuritaire de chiffrement des données transitant au sein du Wi-Fi. Officiellement, depuis hier, le 16 Octobre 2017, ce moyen de connexion à l’Internet subi une grave faille de sécurité, impactant l’ensemble des données de l’utilisateur quand celui-ci utilise cette connectivité et ce, avec pratiquement tout type d’appareil / de terminal… Voici ce qu’il en est à l’heure d’aujourd’hui !

 

 

Selon le bulletin du CERT daté d’hier l’ensemble des protocoles (WPA2 mais aussi son grand frère, le WPA originel même si fortement déconseillé en terme d’utilisation…) sont soumis à cette faille qui permet une aspiration malveillante des données (lecture, modification – via renvois « paquets » en vue de falsification ou récupération, espionnage…) à partir des terminaux utilisés (qu’il soit mobile – smartphone, tablettes… – ou « fixe » : PC).

Si le bulletin du Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques a été publié le 16 Octobre, la découverte de la vulnérabilité, paradoxalement, ne date pas d’hier : en effet, comme l’explique les chercheurs sécuritaires Belges Mathy Vanhoef et Frank Piessens dans un rapport détaillé, Krack (pour « Key Reinstallation AttaCKs ») aurait été soumis à l’opinion depuis le 19 Mai dernier, de quoi étayer et privilégier largement, entre-temps, selon les propos des chercheurs, d’autres pistes pour leur PoC : « Notre attaque ne se limite pas à récupérer les identifiants de connexion (c’est-à-dire les adresses e-mail et les mots de passe). En général, toutes les données ou informations transmises par la victime peuvent être décryptées. De plus, en fonction du dispositif utilisé et de la configuration du réseau, il est également possible de déchiffrer les données envoyées vers la victime (par exemple le contenu d’un site web). Bien que les sites Web ou les applications puissent utiliser HTTPS comme couche supplémentaire de protection, nous avertissons que cette protection supplémentaire peut (encore) être contournée dans un nombre inquiétant de situations. Par exemple, HTTPS était précédemment contourné dans des logiciels non-navigateurs iOS et OS X d’Apple, dans les applications Android, dans les applications bancaires et même dans les applications VPN« , explique t-il sur le site officiel dédié à l’attaque « Krack ».

Dans les grandes lignes la vulnérabilité réside malheureusement dans l’exploitation d’une « vrai-fausse » faille établie au sein-même du système du protocole de chiffrement WPA2 (IEEE 802.11i de son nom « technique ») déployé officiellement en Juin 2004, plus précisément au sein du « 4-way handshake« , un processus de connexion par étape permet à un client de rejoindre un réseau via la génération d’une clé de session / de cryptage. Toutefois, si la dernière étape finalise cette poignée de main, cette dernière a besoin, en toute logique d’avoir l’étape 3 elle-même aboutie. Or, il arrive que l’étape 3 se répète si le pointage entre le « client » et la « cible » ne peut se faire, ce qui s’avère tout à fait normal hors contexte… Une subtilité sûrement saisie par quelques personnes ou groupes malveillants qui n’ont pas hésité à exploiter cet effet pernicieux : « Chaque fois qu’il reçoit ce message, il réinstalle la même clé de cryptage et réinitialise ainsi le numéro de paquet de transmission incrémentiel (nonce) et le compteur de relecture de réception utilisé par le protocole de cryptage. Nous montrons qu’un attaquant peut forcer ces réinitialisations nonce en collectant et en rejouant les retransmissions du message 3 du handshake à 4 voies. En forçant la réutilisation de nonce de cette manière, le protocole de cryptage peut être attaqué, par exemple, les paquets peuvent être rejoués, déchiffrés et / ou forgés. La même technique peut également être utilisée pour attaquer la clé de groupe, PeerKey, TDLS, et la négociation – « handshake » ndlr – rapide de transition BSS« .

Bien évidemment les fabricants et éditeurs ont été informés (aux alentours du 14 Juillet voire le 15 Juillet pour OpenBSD). Les chercheurs indiquent que le CERT a déployé l’information fin Août (le 28)… Et présentement, donc, pour les utilisateurs / internautes, soit depuis le 16 Octobre (officiellement).

 

Pour l’heure, les correctifs sécuritaires sont en cours de déploiements (cf. >! cette liste!< pour plus de précisions) :

  • Microsoft a fourni >des patchs< qui seront progressivement (via Update ou en manuel si vous ne voulez pas attendre) installés selon votre / vos système(s) acquis. Apple s’occupe en priorité des bêtas (macOS 10.11.1 et iOS 11.1 « dans quelques semaines »), les versions stables viendront ensuite. Google – Android – déploiera un patch le 6 Novembre prochain (Pixel) et comme Apple, le reste devra suivre (rien avant donc en notant que Samsung déploiera des patchs pour les appareils intégrant Android. Pour les autres rien n’a été communiqué). Linux, également impacté (wpa_supplicant version 2.6), est plus réactif et propose déjà des paquets (mises à jour) correctifs (Ubuntu v14.04+, Debian… à vérifier suivant votre distribution). Lineage OS aura un correctif d’ici la semaine prochaine ;
  • Les nano-systèmes comme la Raspberry Pi n’ont pas été épargnés et le correctif sera « bientôt » en déploiement. Intel fournit des correctifs adéquats selon type chipsets (>à consulter<) ;
  • Du côté des fabricants de routeurs, Netgear fournira « bientôt » un firmware quant à TP Link l’entreprise ne sait pas si elle est concernée par le problème… Meraki, UniFi, Microtik, Aruba, Cisco, entre-autres, ont solutionné la faille. Enfin reste le plus important : les objets connectés (en Wi-Fi) qui sont aux premières loges en cas d’intrusion-réseau de ce type ; Echo (Amazon), Wemo et Linksys (Belkin), Nest, Google, Airport (Apple) n’ont toujours pas de correctifs pour l’heure ;
  • Pour les box Internet Françaises peu ou prou de réponses pour l’heure si ce n’est Free qui assure que ni la Revolution / mini 4K ni la Crystal ne seraient impactées.

 

Voilà pour les faits ; reste que dans l’absolu, du point de vue du consommateur et / ou de l’internaute, il faudra veiller à limiter les dégâts suivant le(s) appareil(s) usité(s) dans l’attente d’un correctif (si correctif il y a, suivant le fabricant ET suivant le temps de déploiement du ou des patchs en question…). Même si les chercheurs Belges démontrent une instabilité éventuelle des VPN ou du surf en HTTPS dans certaines conditions et environnement (applications mobiles) propices à ce type de détournement, il convient d’utiliser le moins possible le Wi-Fi (certains parlent d’Ethernet mais difficile de brancher le port sur un smartphone déjà que le port Jack semble quasiment disparu… Reste le Bluetooth… !) et de prioriser une navigation HTTPS avec un NAVIGATEUR WEB (Firefox, Chrome, Opera, Edge, Vivaldi…) voire d’utiliser un VPN réputé ou celui intégré dans votre système mobile (attention, pour les avertis : pour de l’aide, demandez aux helpers du dépannage d’SOSOrdi.net qui tenteront de vous aider dans vos démarches, vos configurations ;-)). Reste l’ultime solution : utilisez le journal papier et le sudoku / mots croisés de poche, inviolables (sauf si quelqu’un a déjà écrit dessus !!)… A veiller !

 

 

Source : Wi-Fi – 16 Octobre 2017 – faille « Krack« .




  • Mots-clef: , ,