Blog GlobalSign

29 mars 2018

Comment vous protéger de KRACK, la vulnérabilité des réseaux wifi

On trouve du wifi partout aujourd’hui, du moins c’est ce qu’il semblerait… sauf lorsque que vous tenez ABSOLUMENT à regarder la nouvelle bande-annonce du dernier film à la modepour la 30e fois pour en pénétrer les secrets… debout dans la file d’embarquement pour le vol en provenance de Cleveland, sur la passerelle qui mène à l’appareil.

Chers utilisateurs adeptes du « jamais sans mon wifi », gratuit ou payant, prenez garde : une nouvelle faille révélée cette semaine pourrait vous exposer vous, et plus particulièrement, les grands réseaux d’entreprise, au piratage de données à grande échelle.

D’après un article du Wall Street Journal (WSJ) le 17 octobre :

Un bogue dans le logiciel utilisé pour connecter les équipements sans fil partout dans le monde pourrait offrir aux pirates informatiques un nouveau moyen d’espionner le trafic wifi, et contraindre les équipementiers à publier des correctifs. Selon les cryptographes, la faille wifi débusquée lundi 16 octobre par un chercheur en sécurité, est la plus importante découverte depuis des années. Son impact sera probablement plus marqué sur les grandes entreprises que sur les consommateurs.

Cryptographers said the Wi-Fi flaw, reported Monday by a security researcher, is the most significant to have been discovered in years. It is likely, though, to have a larger effect on big corporations than consumers.

Apparemment, cette nouvelle arme dévastatrice est capable de cloner un réseau sans fil qui réinitialise alors les clés de chiffrement de manière non sécurisée, et expose ainsi des données précédemment chiffrées en WPA2 (Wifi Protected Access II) — le dernier protocole de sécurité Wifi qui s’est approprié les anciens protocoles WPA (Wifi Protected Access) et WEP (Wired Equivalent Privacy). Une fois les données « accessibles en clair », « rien n’empêche un pirate informatique de visualiser les mots de passe ou toute autre information sensible envoyée sur le réseau », explique Mathy Vanhoef, le chercheur de l’Université de Louvain en Belgique qui a découvert la faille. « Suivant la configuration du réseau, il est également possible d’injecter et de manipuler des données. » Pour présenter la technique, qu’il appelle attaque de réinstallation clé, ou KRACK, le chercheur a créé un site Web.

Le même jour, un autre article du WSJ rapportait d’autres détails. « L’étude devait être divulguée lundi 16 octobre à 8h, heure de l’Est (fuseau horaire couvrant la côte est de l'Amérique du Nord). L’US CERT, l’équipe d’intervention en cas d’urgence informatique du Département de la sécurité intérieure des États-Unis, a envoyé à une centaine d’entreprises un rapport d’alerte concernant cette étude, selon Ars Technica :

[L’attaque] fonctionne en exploitant la procédure dite du « four-way handshake » (poignée de main en 4 étapes) qui permet d’établir une clé pour chiffrer le trafic.

Qui est touché ?

Comme le notait Vanhoef :

  • « L’attaque met à mal tous les réseaux Wifi modernes protégés. »
  • « Les faiblesses résident dans la norme Wifi elle-même, et non dans les produits ou dans les implémentations pris individuellement. En clair, n’importe quelle implémentation correcte du WPA2 peut être affectée. » (C’est nous qui le soulignons.)

Comment vous protéger ?

Nous en avons parlé à notre directeur de la sécurité de l’information, Jeremy Swee, qui nous a indiqué la procédure suivante pour vous protéger au mieux :

  • Le vieil adage reste valable pour KRACK : maintenez vos logiciels et appareils à jour !
  • Limitez les chances de succès des attaques Wifi en réduisant la puissance de vos signaux Wifi par défaut. Cela limitera leur portée dans les lieux publics.
  • Nous le répétons depuis des années : n’utilisez pas de points d’accès Wifi publics, cela vous protégera de KRACK et de bien d’autres problèmes !
  • Utilisez un VPN activé en permanence d’un fournisseur de confiance.
  • Utilisez chaque fois que possible le HTTPS pour éviter d’être espionné.

L’excellente section FAQ du site Web de Vanhoef vous donne plus de détails, si vous le souhaitez. Voici en résumé ce qu’il faut retenir :

  • Mettez à jour tous vos appareils Wifi.
  • Mettez à jour le firmware de votre routeur.
  • Une fois ces deux opérations effectuées, mettez également à jour votre mot de passe Wifi, sachant toutefois que le fait de changer ce mot de passe ne suffira pas à empêcher l’attaque ou à vous protéger de la vulnérabilité.

BleepingComputer et ZDNet disposent tous deux d’une liste assez complète de tous les correctifs disponibles. Pour ce qui est des principaux acteurs :

  • La mise à jour du 10 octobre 2017 de Microsoft incluait un correctif au problème.
  • Profitant de son bulletin mensuel de sécurité pour le mois de novembre, Google a alors publié une série de correctifs pour combler cette vulnérabilité.
  • Apple a d’abord déployé des correctifs en version bêta sur iOS, tvOS, watchOS et macOS, puis déployé un patch avec la mise à jour iOS 11.1 de son OS

Les correctifs ont été déployés et tout le monde s’est employé à mettre à jour ses périphériques. En plus de cela, nous vous invitons à suivre les conseils du Wall Street Journal, applicables à tout réseau Wifi auquel vous vous connectez. « En attendant la publication d’un correctif, le plus sûr est de traiter toutes les connexions Wifi comme s’il s’agissait du réseau Wifi public d’un café ou d’un restaurant. En clair, n’accédez qu’aux sites sécurisés et n’utilisez que des applications utilisant des connexions sécurisées (ex. : HTTPS), notamment pour consulter ou saisir des informations sensibles », déclarait Shuman Ghosemajumder, Directeur technique de Shape Security, dans un e-mail relayé au CIO Journal. « Les ressources non sécurisées auxquelles tous les utilisateurs d’un réseau peuvent accéder doivent immédiatement être sécurisées. »

Partager ce blog