IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

WPA2 : des chercheurs en sécurité sont parvenus à casser le protocole de sécurité de Wi-Fi
Les utilisateurs du monde entier sont désormais menacés

Le , par Coriolan

443PARTAGES

10  0 
Wi-Fi Protected Access (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans-fil de type Wi-Fi. Il a été créé au début des années 2000 en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. WPA2 surtout est le protocole de chiffrement le plus utilisé et le plus réputé pour sa sécurité.

Maintenant, des chercheurs en sécurité ont trouvé des vulnérabilités critiques dans ce protocole. Si elles sont exploitées, elles permettront aux hackers présents dans le périmètre du réseau sans fil de trouver le mot de passe du Wi-Fi et intercepter le trafic internet. Ils seront en mesure d’accéder au trafic non chiffré entre un appareil et le point d’accès Wi-Fi et même injecter du contenu.

La United States Computer Emergency Readiness Team a publié cette alerte en réponse à la découverte de cet exploit : « US-CERT a pris conscience de l’existence de plusieurs vulnérabilités de gestion de clefs dans le 4-Way Handshake du protocole de sécurité Wi-Fi Protected Access II (WPA2). L’impact de l’exploitation de ces vulnérabilités inclut le déchiffrement, l’attaque par rejeu, le détournement d’une connexion TCP, l’injection de contenu HTTP, et bien d’autres. Du fait qu’il s’agit de problèmes au niveau du protocole, la plupart ou toutes les implémentations correctes du standard seront affectées. Le CERT/CC et le chercheur (qui a rapporté la vulnérabilité) KU Leuven, vont rendre publiques ces vulnérabilités le 16 octobre 2017. »

Les chercheurs ont désormais dévoilé les détails sur l’attaque sur le site krackattacks.com. La vulnérabilité se trouve au niveau du standard Wi-Fi lui-même, et non pas dans des produits ou implémentations individuelles. En conséquence, toute implémentation correcte du WPA2 est probablement affectée. Pour prévenir cette attaque, les experts préconisent aux utilisateurs de mettre à jour leurs appareils dès que les patchs de sécurité seront rendus disponibles. À noter que « si votre appareil supporte le Wi-Fi, il est probablement affecté ». Cela vient du fait qu’actuellement, la plupart des réseaux Wi-Fi modernes utilisent le 4-way handshake pour créer une clef de chiffrement afin de sécuriser le trafic.

Les vulnérabilités suivantes ont été enregistrées : CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, et CVE-2017-13088.


Certains vendeurs et fabricants ont déjà publié des correctifs pour leurs routeurs et points d’accès, mais si vous n’avez pas encore reçu de patchs, il est conseillé d’utiliser le HTTPS, STARTTLS, Secure Shell et les autres protocoles de chiffrement du web et du trafic email entre les clients et les points d’accès. Les utilisateurs devront également se prémunir de VPN comme une couche additionnelle de sécurité. Il faut noter également que certains appareils que nous utilisons aujourd’hui, comme les routeurs ne vont certainement pas recevoir de correctifs. Dans ce cas, il faudra songer à les remplacer ou bien éviter toute connexion non chiffrée.

Source : krackattacks - The Inquirer

Et vous ?

Avez-vous reçu une mise à jour pour votre routeur ?
Sinon, quelles mesures de sécurité comptez-vous prendre ?

Voir aussi :

Forums Sécurité, Rubrique Sécurité

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de nostrora
Membre habitué https://www.developpez.com
Le 17/10/2017 à 10:05
Citation Envoyé par mattdef Voir le message
On m'a toujours dis "Open-source = sécurité". C'est parfois vrai mais aussi parfois faux

- Windows déjà protégé
- MacOS et iOS en passe de l'être
- ...
- ...
- ...
- Android qui le sera uniquement sur 2 modèles de smartphones et uniquement d'ici quelques semaines et surement une ENORME QUANTITE de smartphone qui ne seront jamais mis à jour pour corrigé cette faille

C'est beau l'open-source, c'est beau Google
Tu es un ignorant

Ne confonds pas open source et stragérie de sécurité d'une entreprise (qui n'est justement PAS Open-Source FOSS etc.)
C'est le projet wpa_supplicant qui cause cette faille sur les systèmes GNU/Linux. Et le fix a été mis en ligne il y a 17h http://w1.fi/cgit/hostap/log/

là, si je met à jour mon paquet Arch Linux ou sur un autre système debian et mon système sera sécurisé.

Pour Windows par contre, ce n'est pas le cas, tu va devoir attendre au moins un mois le temps qu'il release le fix sur leur channel Windows Update (t'aura aussi droit à 2/3 redémarrage de 10 minutes chacun (ok je troll..)).

Voilà voilà, donc oui c'est beau l'open-source.
6  0 
Avatar de Volgaan
Membre confirmé https://www.developpez.com
Le 17/10/2017 à 10:02
Citation Envoyé par mattdef Voir le message
C'est beau l'open-source, c'est beau Google
Ce n'est pas tout à fait exact. Bien que la base (AOSP) soit open-source, les versions d'Android déployés par les constructeurs le sont rarement, et c'est bien ça qui prend du temps. Même si Google met à jour rapidement Android "stock", il faudra attendre probablement des semaines, sinon des mois, avant que les constructeurs en fassent de même sur leurs appareils. S'ils le font.
4  0 
Avatar de Anomaly
Responsable technique https://www.developpez.com
Le 17/10/2017 à 10:14
Citation Envoyé par nostrora Voir le message
Tu es un ignorant
C'est aussi un doux fanboy illuminé qui voit de l'avenir à Windows Phone.

Et il s'imagine apparemment que Google serait un champion de l'Open Source ; une telle ignorance est criminelle.

Les problèmes de mises à jour d'Android (que ça soit en terme de sécurité ou fonctionnalité) est le point le plus noir de ce système et n'a rien à voir avec son aspect partiellement open source, bien au contraire : c'est la personnalisation propriétaire de chaque Android par chaque constructeur qui en est responsable, qui fait que des millions d'appareils seront bloqués à telle ou telle version, ce qu'on appelle la fragmentation.

Donc en réalité c'est bien parce que chaque Android en circulation est bourré de code propriétaire qu'on a un tel souci.
4  0 
Avatar de
https://www.developpez.com
Le 16/10/2017 à 13:07
WhoooHooo je peux recommencer le wardriving <3
1  0 
Avatar de abriotde
Membre chevronné https://www.developpez.com
Le 16/10/2017 à 14:03
Je trouve ça abuser de publier déjà les failles. Ils auraient pu attendre 1 an pour un problème aussi bas niveau (parfois hardware).

La bonne nouvel c'est que d'ici peu il sera facile de cracker les connexion Wifi des Bar et autre lieux public (Et même le Wifi privé des appartements...) : Internet everywhere sans 4G avec un bon débit.
3  2 
Avatar de Farlgerann
Candidat au Club https://www.developpez.com
Le 16/10/2017 à 19:25
C'est pas qu'on est "désormais en danger", c'est qu on sait désormais qu on l'est x)
1  0 
Avatar de nostrora
Membre habitué https://www.developpez.com
Le 18/10/2017 à 10:58
www.androidpolice.com/2017/10/17/lin...ility-android/

Dans le titre : LineageOS (un fork d'AOSP) a comblé la faille concernant KRACK avant Google dans AOSP

Merci l'open source !
1  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 19/10/2017 à 16:43
La bonne excuse pour cracher sur l'open source!!!
1  0 
Avatar de AndMax
Membre éprouvé https://www.developpez.com
Le 20/10/2017 à 11:06
Citation Envoyé par micka132 Voir le message
Ca me gonfle de ne voir que les bon cotés de l'open source, sans voir les défauts qui sont pourtant tout aussi visible.
Les défauts sont liés justement aux logiciels privateurs: Samsung, Huawei, Asus, HTC, Google, Orange, SFR, Bouyghes et tant d'autres ne proposent JAMAIS du libre, on ne peut donc pas parler de défaut lié à "l'open source". Ils ont décidé de vendre des terminaux fermés, équipés de couches et surcouches de logiciels privateurs qui ne vont pas récupérer les mises à jour déjà disponibles pour la base qui est libre.

Bref, les gens qui ont un Android ancien ou vérouillé par leur constructeur ou opérateur sont FOUTUS. Soient ils subissent l'obsolescence programmée (et polluent en remplaçant du hardware qui marche), ou ils passent à une "ROM" libre et à jour qui corrige les failles récentes.
1  0 
Avatar de MaximeCh
Membre éprouvé https://www.developpez.com
Le 16/10/2017 à 13:13
Aïe.
L'internet of shiet va encore en chier
0  0