Vulnérabilité de WPA2 : l’occasion d’adopter des bonnes pratiques

Généralisé car accepté comme un successeur sûr à WPA pour sécuriser les connexions Wi-Fi, le protocole WPA2 s’avère en fait vulnérable à une attaque sérieuse, baptisée Krack. Celle-ci permet, pour peu qu’elle soit exécutée avec succès, de s’interposer entre un terminal et le point d’accès auquel il est connecté. A la clé, en théorie : le risque d’interception de données, de détournement de l’utilisateur vers des sites et services malveillants, ou encore d’injection de données à son insu.

L’attaque vise en fait les mécanismes de négociation de connexion entre terminal et point d’accès : il s’agit de leurrer le terminal pour le forcer à utiliser une clé de chiffrement préexistante plutôt que la nouvelle clé temporaire fournie par le point d’accès pour permettre d’effectivement se connecter, en fin de phase de négociation. Car dès lors, la clé est connue de l’attaquant qui peut s’en servir pour intervenir et s’interposer. Le tout ne s’appuie pas sur une faille d’implémentation, mais bien sur une vulnérabilité de WPA2, liée des tolérances devant permettre de gérer les situations où la négociation n’aboutit pas, par exemple parce que des paquets ont été perdus. 

The Wi-Fi issue has no public exploit code, requires physical access, does not impact Windows or iOS, and is patchable at client and server.

— Beaumont Porg, Esq. (@GossiTheDog) October 16, 2017

Mathy Vanhoef, le chercheur à l’origine de la découverte, souligne que celle-ci est « particulièrement catastrophique pour les versions 2.4 et plus » d’un client Wi-Fi courant sous Linux, wpa_supplicant. Et cela vaut aussi pour Android 6.0 et postérieur. Mais selon l’expert Kevin Beaumont, la vulnérabilité « nécessite un accès physique, n’a pas d’impact sur Windows ou iOS » et surtout ne fait pas l’objet de code d’exploitation publiquement accessible.

Qui plus est, la vulnérabilité en question peut faire l’objet de correctifs, tant côté terminal que point d’accès. OpenBSD en profite déjà ; le projet a été informé dès la mi-juillet. De nombreux constructeurs ont également été notifiés à la même période. Et de nombreux correctifs sont déjà disponibles ou sur le point de l’être, pour Windows, macOS, plusieurs distributions Linux (y compris pour Raspberry Pi), des chipsets Intel, iOS, DD-WRT, mais également pour les équipements Aruba, FortiNet, Microtik, ou encore Cisco.

Mais la question va être celle du déploiement des mises à jour. Cela vaut pour les terminaux Android, toujours très marqués par leur fragmentation, mais également toute une multitude de points d’accès, domestiques, en entreprise, ou dans des lieux publics.

Dans ce contexte, cette vulnérabilité n’appelle en définitive qu’à une chose : la généralisation du recours à des services VPN, au moins lors de l’utilisation de hotspots publics. La recommandation n’est pas nouvelle – et les réseaux configurés « à plat », avec accès à une large plage d’adresses IP, et de plus sans isolement entre terminaux connectés à un même point d’accès, ne manquent pas –, mais elle trouve ici une nouvelle justification. Si c’était nécessaire.