Istyablog : pour savoir en toute décontraction

Istyablog : pour savoir en toute décontraction

Le Wifi sécurisé présente des failles

KRACK.PNG

 

Une faille de sécurité a été dévoilée  mi-octobre dans le protocole WPA2 qui était censé protéger jusque-là les connexions en Wi-Fi.

Il était communément acquis que se connecter à des points d'accès Wi-Fi ouverts (sans mot de passe)  était une très mauvaise idée. Les communications n'étant pas protégées, des pirates peuvent tout intercepter : sites visités, données saisies, mots de passe, informations confidentielles,... Mais depuis les révélations d'un chercheur en cybersécurité de l'université catholique de Louvain (Belgique), il faut aussi se méfier du Wi-Fi sécurisé !

Le protocole Wi-Fi Protected Access (WPA et WPA2) conçu et mis en place en 2003-2004 était en effet censé assurer l'authentification et le chiffrement des connexions. Il a été créé par la Wi-Fi Alliance, un consortium d'entreprises incluant Comcast, Microsoft, T-Mobile, Samsung, Apple, LG, Motorola, Dell, Qualcomm... Or la vulnérabilité détectée réside au sein du protocole lui-même ! Elle se situe au niveau de la phase de négociation entre un appareil (smartphone, ordinateur) et le point d'accès, lorsque la communication s'établit par un échange de clés de chiffrement. Un pirate peut manipuler cette étape de manière à ce qu'une clé soit réutilisée alors que le WPA2 doit garantir un usage unique. Ce procédé avait déjà touché un protocole de sécurité des échanges sur le Web en 2001.

L'attaque s'appelle KRACK (Key reinstallation attack : attaque par réinstallation de clé). Elle nécessite que le pirate se trouve à proximité de la communication, elle implique donc de viser une personne en particulier.

Une opération de correction du protocole WPA2 est en cours. A charge pour chaque opérateur, prestataire et fabriquant, de publier et d'appliquer ces mises à jour. Microsoft et Apple s'y sont déjà employés.



03/12/2017
0 Poster un commentaire

A découvrir aussi


Inscrivez-vous au blog

Soyez prévenu par email des prochaines mises à jour

Rejoignez les 57 autres membres