WPA2 : Microsoft a déjà colmaté la faille affectant ce protocole
Apple a implémenté un correctif dans des versions bêta d'iOS et macOS

Le , par Stéphane le calme

63PARTAGES

7  0 
Les entreprises technologiques ont commencé à réagir à un nouvel exploit Wi-Fi qui affecte tous les réseaux Wi-Fi modernes utilisant WPA ou WPA 2, le mécanisme pour sécuriser les réseaux sans fil de type Wi-Fi.

La United States Computer Emergency Readiness Team a publié cette alerte en réponse à la découverte de cet exploit : « US-CERT a pris conscience de l’existence de plusieurs vulnérabilités de gestion de clefs dans le 4-Way Handshake du protocole de sécurité Wi-Fi Protected Access II (WPA2). L’impact de l’exploitation de ces vulnérabilités inclut le déchiffrement, l’attaque par rejeu, le détournement d’une connexion TCP, l’injection de contenu HTTP, et bien d’autres. Du fait qu’il s’agit de problèmes au niveau du protocole, la plupart ou toutes les implémentations correctes du standard seront affectées. Le CERT/CC et le chercheur (qui a rapporté la vulnérabilité) KU Leuven, vont rendre publiques ces vulnérabilités le 16 octobre 2017. »

Les chercheurs en sécurité déclarent que les périphériques exécutant macOS, Windows, iOS, Android et Linux sont affectés par les vulnérabilités.

Aussi, les éditeurs de logiciels ont vite fait de communiquer. Microsoft a indiqué qu'il a déjà résolu le problème pour les clients exécutant les versions prises en charge de Windows. « Nous avons publié une mise à jour de sécurité pour résoudre ce problème », a déclaré un porte-parole de Microsoft. Le bulletin de sécurité a été diffusé hier. « Les clients qui appliquent la mise à jour ou qui ont activé les mises à jour automatiques seront protégés. Microsoft continue à encourager les clients à activer les mises à jour automatiques pour s'assurer qu'ils sont protégés. »

Google, pour sa part, a promis un correctif pour les appareils concernés « dans les semaines à venir ». Les appareils Pixel de Google seront les premiers à recevoir des correctifs avec une mise à jour de sécurité prévue pour le 6 novembre 2017, mais la plupart des autres dispositifs tournant sur Android devront probablement attendre plus longtemps. Selon les chercheurs, 41 % des appareils Android sont vulnérables à une variante « exceptionnellement dévastatrice » de l'attaque Wi-Fi qui implique la manipulation du trafic, et il faudra du temps pour colmater la faille sur les anciens appareils.

La Wi-Fi Alliance, un réseau d'entreprises responsables du Wi-Fi, a fait un commentaire suite à la divulgation des vulnérabilités :

« Des recherches publiées récemment ont identifié des vulnérabilités dans certains périphériques Wi-Fi où ces périphériques réinstallent des clefs de cryptage réseau dans certaines conditions, désactivant ainsi la protection contre la rediffusion et réduisant considérablement la sécurité du chiffrement. Ce problème peut être résolu grâce à des mises à jour logicielles simples et l'industrie Wi-Fi, y compris les principaux fournisseurs de plateformes, a déjà commencé à déployer des correctifs sur les utilisateurs Wi-Fi. Les utilisateurs peuvent s'attendre à ce que tous leurs périphériques Wi-Fi, qu'ils soient patchés ou non, continuent à bien fonctionner ensemble.

« Il n'y a aucune preuve que la vulnérabilité a été exploitée de manière malveillante et Wi-Fi Alliance a pris des mesures immédiates pour s'assurer que les utilisateurs peuvent continuer à compter sur le Wi-Fi pour offrir de solides protections de sécurité. Wi-Fi Alliance doit maintenant tester cette vulnérabilité au sein de notre réseau mondial de laboratoires de certification et a fourni un outil de détection des vulnérabilités à l'usage de tout membre de Wi-Fi Alliance. Wi-Fi Alliance communique également largement les détails de cette vulnérabilité et des correctifs aux fournisseurs de périphériques et les encourage à travailler avec leurs fournisseurs de solutions pour intégrer rapidement les correctifs nécessaires. Comme toujours, les utilisateurs Wi-Fi doivent s'assurer qu'ils ont installé les dernières mises à jour recommandées par les fabricants d'appareils. »

Apple a également confirmé que la vulnérabilité est corrigée dans une version bêta des systèmes d'exploitation actuels. Le correctif devrait être rendu public dans quelques semaines. Il faudra donc encore un peu de patience pour les appareils tournant sur iOS et macOS.

Source : bulletin de sécurité Microsoft, Wi-Fi Alliance, AppleInsider

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de nostrora
Membre habitué https://www.developpez.com
Le 17/10/2017 à 10:05
Citation Envoyé par mattdef Voir le message
On m'a toujours dis "Open-source = sécurité". C'est parfois vrai mais aussi parfois faux

- Windows déjà protégé
- MacOS et iOS en passe de l'être
- ...
- ...
- ...
- Android qui le sera uniquement sur 2 modèles de smartphones et uniquement d'ici quelques semaines et surement une ENORME QUANTITE de smartphone qui ne seront jamais mis à jour pour corrigé cette faille

C'est beau l'open-source, c'est beau Google
Tu es un ignorant

Ne confonds pas open source et stragérie de sécurité d'une entreprise (qui n'est justement PAS Open-Source FOSS etc.)
C'est le projet wpa_supplicant qui cause cette faille sur les systèmes GNU/Linux. Et le fix a été mis en ligne il y a 17h http://w1.fi/cgit/hostap/log/

là, si je met à jour mon paquet Arch Linux ou sur un autre système debian et mon système sera sécurisé.

Pour Windows par contre, ce n'est pas le cas, tu va devoir attendre au moins un mois le temps qu'il release le fix sur leur channel Windows Update (t'aura aussi droit à 2/3 redémarrage de 10 minutes chacun (ok je troll..)).

Voilà voilà, donc oui c'est beau l'open-source.
6  0 
Avatar de Volgaan
Membre averti https://www.developpez.com
Le 17/10/2017 à 10:02
Citation Envoyé par mattdef Voir le message
C'est beau l'open-source, c'est beau Google
Ce n'est pas tout à fait exact. Bien que la base (AOSP) soit open-source, les versions d'Android déployés par les constructeurs le sont rarement, et c'est bien ça qui prend du temps. Même si Google met à jour rapidement Android "stock", il faudra attendre probablement des semaines, sinon des mois, avant que les constructeurs en fassent de même sur leurs appareils. S'ils le font.
4  0 
Avatar de Anomaly
Responsable technique https://www.developpez.com
Le 17/10/2017 à 10:14
Citation Envoyé par nostrora Voir le message
Tu es un ignorant
C'est aussi un doux fanboy illuminé qui voit de l'avenir à Windows Phone.

Et il s'imagine apparemment que Google serait un champion de l'Open Source ; une telle ignorance est criminelle.

Les problèmes de mises à jour d'Android (que ça soit en terme de sécurité ou fonctionnalité) est le point le plus noir de ce système et n'a rien à voir avec son aspect partiellement open source, bien au contraire : c'est la personnalisation propriétaire de chaque Android par chaque constructeur qui en est responsable, qui fait que des millions d'appareils seront bloqués à telle ou telle version, ce qu'on appelle la fragmentation.

Donc en réalité c'est bien parce que chaque Android en circulation est bourré de code propriétaire qu'on a un tel souci.
4  0 
Avatar de mattdef
Membre habitué https://www.developpez.com
Le 17/10/2017 à 9:24
On m'a toujours dis "Open-source = sécurité". C'est parfois vrai mais aussi parfois faux

- Windows déjà protégé
- MacOS et iOS en passe de l'être
- ...
- ...
- ...
- Android qui le sera uniquement sur 2 modèles de smartphones et uniquement d'ici quelques semaines et surement une ENORME QUANTITE de smartphone qui ne seront jamais mis à jour pour corrigé cette faille

C'est beau l'open-source, c'est beau Google
2  5 
Avatar de nostrora
Membre habitué https://www.developpez.com
Le 18/10/2017 à 10:58
www.androidpolice.com/2017/10/17/lin...ility-android/

Dans le titre : LineageOS (un fork d'AOSP) a comblé la faille concernant KRACK avant Google dans AOSP

Merci l'open source !
1  0 
Avatar de hotcryx
Membre extrêmement actif https://www.developpez.com
Le 19/10/2017 à 16:43
La bonne excuse pour cracher sur l'open source!!!
1  0 
Avatar de AndMax
Membre éclairé https://www.developpez.com
Le 20/10/2017 à 11:06
Citation Envoyé par micka132 Voir le message
Ca me gonfle de ne voir que les bon cotés de l'open source, sans voir les défauts qui sont pourtant tout aussi visible.
Les défauts sont liés justement aux logiciels privateurs: Samsung, Huawei, Asus, HTC, Google, Orange, SFR, Bouyghes et tant d'autres ne proposent JAMAIS du libre, on ne peut donc pas parler de défaut lié à "l'open source". Ils ont décidé de vendre des terminaux fermés, équipés de couches et surcouches de logiciels privateurs qui ne vont pas récupérer les mises à jour déjà disponibles pour la base qui est libre.

Bref, les gens qui ont un Android ancien ou vérouillé par leur constructeur ou opérateur sont FOUTUS. Soient ils subissent l'obsolescence programmée (et polluent en remplaçant du hardware qui marche), ou ils passent à une "ROM" libre et à jour qui corrige les failles récentes.
1  0 
Avatar de poma88
Membre du Club https://www.developpez.com
Le 17/10/2017 à 8:43
Quelqu'un pourra toujours "Kracker" le réseau si la faille est dans le protocole wifi ... Non?
0  0 
Avatar de bytecode
Membre actif https://www.developpez.com
Le 17/10/2017 à 14:08
Salut, attaquer un AP (point d’accès, routeur...) sympa... mais corrompre une station (le client) en trouvant des failles dans le drivers de la carte wifi (voir fuzzing de drivers wifi) via wifitap, scapy et metasploit sans avoir besoin d'être associé, si j'étais auditeur je ferais surement ce choix.

Bravo pour la découverte.
0  0 
Avatar de grigric
Membre régulier https://www.developpez.com
Le 17/10/2017 à 14:28
WPS est une très mauvaise idée car il est utilisé pour hackr le wifi plus facilement.
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web