Ce qu'il faut savoir à propos de KRACK
Cette semaine des chercheurs belges ont publié un moyen de percer la protection offerte par WPA2, le protocole d'authentification et chiffrement des WI-FI. Comment se protéger ?
Cette semaine des chercheurs belges ont publié un moyen de percer la protection offerte par WPA2, le protocole d’authentification et chiffrement des WI-FI. Quelle est cette attaque et comment s’en protéger ?
Le WPA2 est le protocole d’authentification des réseaux WI-FI qui était considéré comme sûr jusqu’à présent et qui remplaçait, depuis 2004, le protocole WEP (percé en 2001). Il est le standard de sécurité des réseaux WI-FI protégés du monde entier.
Surface d’attaque
La surface d’attaque de ce moyen est limitée et peut être réduite. Tout d’abord, l’attaquant doit se trouver à portée du signal du WI-FI pour effectuer l’attaque.
Ensuite, l’attaque concerne le mécanisme d’authentification du WI-FI. Elle ne remet pas en cause la sécurité des données stockées sur les appareils. Les données potentiellement vulnérables sont celles qui circulent sur le réseau WI-FI entre les appareils et la borne.
Cette attaque se sert de l’authentification WPA2 comme porte d’entrée mais elle repose sur une faille du système WI-FI lui-même. WPA2, même parfaitement implémenté, ne peut rien contre cette faille. C’est le système WI-FI qu’il faut patcher.
Simplement expliqué, le WI-FI permet de renvoyer des paquets de données parfaitement identiques à la borne qui les traitent sans discernement.
L’attaquant s’appuie là-dessus pour renvoyer les clés d’authentification à la borne depuis son appareil à la place de la victime.
La borne, ne distinguant pas l’envoi du réenvoi, valide l’authentification avec les mêmes clés dans les deux cas. L’attaquant possède donc les mêmes clés de déchiffrement que la victime lui permettant de déchiffrer les échanges entre la victime et la borne.
Comment se protéger
Il y a plusieurs façons de se protéger.
Les mises à jours
Tout d’abord, vérifiez si des mises à jours de sécurité sont disponibles pour vos appareils. Voici la liste des systèmes bénéficiant d’une mise à jour par ZDNet (en anglais). Une politique de mise à jour régulière de vos appareils est à envisager pour être paré contre des attaques futures.
La réduction de la surface d’attaque
Ensuite, veillez à réduire la surface d’attaque. Mettez sur câble ethernet le maximum d’appareils possible et coupez leur WI-FI. Pas de WI-FI, pas d’attaque possible.
Le remplacement du chiffrement
Pour les appareils ne pouvant se connecter que par WI-FI, il faut palier aux failles du chiffrement du protocole WPA2 par un autre chiffrement.
Visitez vos sites web en https, le protocole de chiffrement associé (le ’s’ de https comme sécurité) remplace la défaillance de WPA2 pour les communications site par site. Une extension de navigateur comme HTTPS everywhere peut vous aider.
Installez un VPN sur vos appareils. Il chiffre la totalité du flux entre vos appareils et le WI-FI (et au delà sur Internet). Je vous conseille bien sûr notre service, MyCrypNet, qui a pour avantage supplémentaire de renforcer les fonctionnalités de votre réseau en l’abstrayant des considérations géographiques.