Une faille majeure découverte dans le protocole de sécurisation du Wi-Fi

Ils l’ont baptisé Krack Attacks pour Key Reinstallation AttaCks. Des chercheurs en sécurité belges de l’Université KU Leuven ont trouvé des failles majeures dans le protocole de chiffrement WPA2. Ce protocole est utilisé dans la plupart des connexions Wi-Fi. Ils ont publié les premiers détails de leurs travaux sur un site internet krackattacks.com. La faille se situerait au niveau même du protocole et permettrait notamment d’accéder à toutes les informations sensibles – censées être chiffrées – envoyées par un terminal . Cela concerne donc les emails, des photos, les mots de passe ou encore les numéros de cartes de crédit.

Dans la vidéo ci-dessous, l’un des chercheurs montre comment il est possible en peu de temps d’intercepter le nom de compte et le mot de passe d’un site de rencontres sur un smartphone Android connecté à un réseau wifi classique:

Selon le site Ars technica qui a révélé l’affaire, l’équipe d’intervention en cas d’urgence informatique des États-Unis (US Cert, qui fait partie du département de la sécurité intérieure américain) a d’ores et déjà diffusé une alerte auprès d’une centaine d’organisations.
«La plupart des réseaux Wi-Fi, incluant les réseaux WPA2 personnels et d’entreprise, sont affectés. Tous les terminaux client et points d’accès que nous avons testés en pratique sont vulnérables à l’une des variantes de cette attaque», précisent les chercheurs. De plus, il est aussi possible d’utiliser cette faille pour injecter et de manipuler des données par le biais de logiciels malveillants en utilisant cette faille.
Ne pas céder à la panique

Tout le monde a raison d’avoir peur», a affirmé Rob Graham, un expert d’Errata Security, cité par l’AFP. «En pratique, cela veut dire que les pirates peuvent lire une bonne partie du trafic sur les réseaux wifi avec plus ou moins de difficulté selon la configuration du réseau», ajoute-t-il sur son blog.
Wi-Fi Alliance, un groupe qui fixe les normes pour les réseaux sans fil, estime toutefois qu’il ne faut pas céder à la panique. «Il n’y a pas d’évidence que cette faille ait déjà été exploitée à de mauvaises fins et l’alliance a pris des mesures immédiates pour que les réseaux wifi soient utilisés en toute sécurité», indique-t-elle dans un communiqué. Selon Ars Technica cependant, «la grande majorité des points d’accès existants ne devraient pas bénéficier d’un patch de correction rapidement, et certains risquent de ne pas en avoir du tout».
Le protocole WPA2 a été créé en 2004 pour remplacer le protocole WEP, qui avait été cassé lui en 2001. Il était jusqu’à présent considéré comme la méthode de chiffrement la plus sûre. Et à ce titre, utilisée par défaut lors de la mise en place d’un réseau wifi.

Source

Thème : Baskerville 2 par Anders Noren.

Retour en haut ↑