Texte sur bandeau
sur bandeau ligne 2

Faille WPA

paru le: 17/10/2017

Une faille de sécurité a été découverte dans le protocole WPA, protocole de sécurisation des connexions WiFi.

Tous les clients WiFi sont concernés.

Depuis lundi 16 octobre 2017, on parle beaucoup d'une faille de sécurité découverte dans le protocole WPA, protocole de sécurisation des connexions WiFi.

La source d'information la plus directe sur ce sujet est le site WEB du développeur ayant découvert le bug : www.krackattacks.com


Voici un document reprenant le texte de ce site (wpa2-crackattacs.pdf), et ci-dessous quelques extraits significatifs.

Pour résumer cette "affaire" : tous les équipements se comportant comme des clients WiFi sont vulnérables, la conséquence étant que leurs communications pourraient être "plus ou moins facilement" interceptés ou détournées.

La seule parade possible, à part se connecter via un réseau filaire ;-) , est d'effectuer des mises à jour règulières et/ou automatiques de vos systèmes (smartphones compris).
On peut supposer que les corrections spécifiques à cette faille seront heureusement très rapidement publiées, car la correction est triviale et aurait même déjà été effectuée sur OpenBSD, suite à communication privée entre le développeur "inventeur" et cette société (voir "Why did OpenBSD silently release a patch before the embargo?" dans le PDF)...

Extraits de www.krackattacks.com

Cause :
implementation of the 4-way handshake
a particular call to ic_set_key caught my attention. This function is called when processing message 3 of the 4-way handshake, and it installs the pairwise key to the driver. While staring at that line of code I thought “Ha. I wonder what happens if that function is called twice”. At the time I (correctly) guessed that calling it twice might reset the nonces associated to the key.

Perimeter
The attack works against both WPA1 and WPA2, against personal and enterprise networks, and against any cipher suite being used (WPA-TKIP, AES-CCMP, and GCMP).

Who is concerned? :
Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. So it might be that your router does not require security updates. We strongly advise you to contact your vendor for more details. In general though, you can try to mitigate attacks against routers and access points by disabling client functionality (which is for example used in repeater modes) and disabling 802.11r (fast roaming). For ordinary home users, your priority should be updating clients such as laptops and smartphones.

Retour