Les principaux fournisseurs d'accès Internet français ont indiqué que leurs boîtiers de connexion Internet ne couraient pas ou peu de risque de piratage lié à l'exploitation de la faille de sécurité dans le protocole WPA2 du Wi-Fi.
au sommaire
La très grande majorité des boxes Internet françaises ne sont que peu ou pas concernées par la vulnérabilité du protocole WPA2, qui sert à protéger les échanges Wi-Fi, ont indiqué mardi à l'AFP les opérateurs télécoms nationaux. Cette faille de sécurité, mise au jour par l'équipe d'intervention en cas d'urgence informatique des États-Unis (US-Cert)) concerne potentiellement tant les boxes Internet que les appareils se connectant en Wi-Fi, ordinateurs, smartphones, tablettes ou objets connectés.
« Nos équipes étaient pleinement mobilisées pour investiguer sur la potentielle vulnérabilité, Orange confirme qu'aucune de ses boxzq n'est concernée par cette dernière », a déclaré à l'AFP un porteporte-parole de l'opérateur historique. Même son de cloche chez Free, qui précise que sa Freebox Revolution, équipant la grande majorité de ses clients, « n'est pas affectée par cette faille ».
Un risque réduit pour les particuliers
Chez SFR et Bouygues Telecom, on précise travailler avec les constructeurs de boxes afin de s'assurer qu'aucune n'est concernée par la vulnérabilité. Plus largement, les risques sont cependant plutôt réduits pour les particuliers, d'éventuels pirates ayant besoin d'être proches du point d'accès Wi-Fi pour réussir à le pirater, notamment du fait de la portée limitée de ce type de connexion, en moyenne une cinquantaine de mètres. « Nous encourageons nos clients à faire les mises à jour nécessaires sur la totalité de leurs appareils (ordinateurs, smartphones, tablettes, NDLRNDLR) afin de s'assurer qu'ils ne courent pas de risque » sur des connexions Wi-Fi publiques, rappelle-t-on chez Bouygues Telecom.
La faille découverte dans le protocole WPA2 est due au fait qu'un dispositif de chiffrement qui devrait être à usage unique peut en réalité être réutilisé plusieurs fois au cours de la procédure d'identification, affaiblissant du coup ce chiffrement. L'US-Cert, qui dépend du département de la Sécurité intérieure américain, a indiqué que la faille avait été initialement découverte par des chercheurs de l'université catholique de Louvain, en Belgique. Ceux-ci ont indiqué dans un blogblog que la faille pouvait être utilisée « pour avoir accès à des informations que l'on pouvait penser chiffrées en toute sécurité ».
Wi-Fi : la faille de sécurité Krack peut rendre toutes les connexions WPA2 piratables
Article initial de Marc ZaffagniMarc Zaffagni, paru le 17/10/2017
Un chercheur en sécurité de l'université catholique de Louvain (Belgique) a dévoilé l'existence d'une faille de sécurité critique dans le protocole WPA2, le mécanisme qui sécurise les connexions sans fil Wi-Fi. Une attaque exploitant cette vulnérabilité pourrait permettre d'espionner n'importe quelle communication d'un appareil connecté à un point d'accès. Les terminaux Windows, macOS, LinuxLinux, AndroidAndroid et iOSiOS sont potentiellement tous concernés.
La semaine a débuté avec une nouvelle peu rassurante quant à la sécurité des connexions Wi-Fi que nous utilisons sur nos ordinateurs, smartphones, tablettes et autres objets connectés. Mathy Vanhoef, un chercheur de l'université catholique de Louvain (Belgique) a rendu publique sa découverte d'une vulnérabilité critique présente dans le protocole WPA2 qui est à ce jour le système de sécurité le plus élevé pour protéger les réseaux Wi-Fi.
Une preuve de concept de cette faille baptisée Krack (Key Reinstallation Attacks , en français « attaque par réinstallation de clé ») démontre qu'un assaillant se trouvant à portée d'un terminal ou d'un point d'accès Wi-Fi peut intercepter les données chiffrées qui transitent et dans certains cas même, injecter un logiciel malveillantlogiciel malveillant. Les ordinateurs, smartphones et téléphones mobiles sous Windows, macOS, Linux, Android et iOS sont concernés. Entre de mauvaises mains, cette technique pourrait servir à dérober des données sensibles telles que des mots de passemots de passe, coordonnées bancaires, courriels, discussions sur des messageriesmessageries, photos, vidéos, etc.
Tout commence par une poignée de mains
Le talon d'Achille du WAP2 exploité par Krack s'attaque à l'étape initiale de négociation (4 way handshake en anglais) qui intervient au moment où un terminal se connecte au point d'accès Wi-Fi. Les deux équipements échangent une série de quatre messages qui leur permettent de s'authentifier et définissent des clés pour chiffrer le flux de données qui va circuler entre eux.
Or, en créant un second point d'accès Wi-Fi cloné du premier auquel le terminal va se connecter, il est possible de s'immiscer dans les messages échangés entre les deux équipements et d'émettre une information qui va provoquer une réinitialisation des données cryptographiques. Cela permet de réutiliser les clés de chiffrement qui sont émises à partir de la clé principale de la session Wi-Fi. L'assaillant n'a plus alors qu'à repérer dans le flux chiffré des paquetspaquets de données qu'il connaît pour pouvoir déduire la suite de clés et déchiffrer tous les contenus. Changer le mot de passe de son réseau Wi-Fi ne sert donc à rien pour se protéger...
Cette vidéo publiée par le chercheur de l’université catholique de Louvain Mathy Vanhoef présente une démonstration de l’attaque Krack contre des terminaux Android et Linux. © Mathy Vanhoef
Les terminaux Android et Linux sont les plus vulnérables
Étant donné que la source du problème se situe au niveau du protocole WPA2, potentiellement tous les équipements réseau et terminaux utilisant une connexion Wi-Fi de ce type sont concernés. Mais Mathy Vanhoef souligne que les appareils sous Android 6.0 (et suivants) et Linux sont les plus vulnérables. Toutefois, le chercheur indique qu'à ce jour, il n'a pas connaissance d'une exploitation active de cette vulnérabilité pour mener des attaques.
Mais que peut faire un usager pour se protéger ? Il est important de rappeler qu'une telle attaque, si elle existe, ne peut fonctionner qu'en étant physiquement à portée d'un réseau Wi-Fi. L'autre point positif est que la faille WPA2 peut être colmatée par les acteurs concernés. D'ici là, quelques mesures concrètes peuvent limiter les risques d'exposition. Tout d'abord, privilégier la navigation sur des sites web sécurisés en HTTPS qui offre une protection supplémentaire. Cependant, Mathy Vanhoef avertit que ce n'est pas la panacée dans la mesure où certains sites web mal configurés peuvent être forcés à désactiver le protocole HTTPS.
Comment se protéger contre Krack
S l'on se trouve dans un lieu public, une autre parade consiste à systématiquement désactiver la connexion Wi-Fi et à privilégier une connexion sur un réseau cellulaire. Mais cela nécessite alors un suivi de sa consommation de données pour éviter les surcoûts. Il y a également l'option du VPN, le réseau privé virtuelréseau privé virtuel, qui va créer un tunnel de connexion chiffré en reroutant le trafic Internet sur un serveurserveur sécurisé. Mais tous les services de VPN ne se valent pas, notamment en ce qui concerne le respect de la confidentialitéconfidentialité et l'exploitation des données.
La véritable solution à ce problème se trouve au niveau des éditeurs de systèmes d'exploitationsystèmes d'exploitation, fabricants de routeurs Wi-Fi, fournisseurs d'accès Internet et autres acteurs concernés qui doivent diffuser au plus vite des correctifs de sécurité. Mathy Vanhoef indique les avoir avertis à la mi-juillet. MicrosoftMicrosoft a d'ores et déjà émis un correctif de sécurité diffusé par mise à jour automatique de Windows. AppleApple a fait de même pour les versions betaversions beta d'iOS, macOS, tvOS et watchOS et prévoit de pousser très rapidement les mises à jour vers les utilisateurs. GoogleGoogle a fait savoir qu'il travaillait à un correctif qui serait disponible début novembre. Encore faudra-t-il qu'il soit rapidement relayé par les fabricants de smartphones et tablettes Android.
En ce qui concerne Linux, une rustine est disponible pour les distributions Debian, UbuntuUbuntu (14.04 et suivants) et Gentoo tandis qu'OpenBSD a été mis à jour dès juillet. Le site ZDNet.com tient à jour une liste des fabricants, éditeurs et équipementiers qui ont commencé diffuser des mises à jour ou prévoient de le faire.
Ce qu’il faut
retenir
- Le protocole WPA2 sécurise les connexions Wi-Fi à l’aide d’un chiffrement AES.
- Une vulnérabilité présente au niveau de la procédure d’authentification du WPA2 pourrait permettre à un assaillant se trouvant à portée d’un réseau Wi-Fi de déchiffrer le flux de données.
- Les acteurs concernés, dont Apple, Google et Microsoft, ont commencé à diffuser des correctifs de sécurité ou vont le faire.
- En France, les fournisseurs d'accès Internet affirment que leurs équipements ne courent pas de risque majeur.