KRACK

Un petit incident concernant le protocole utilisé dans quasiment tous les réseaux wifi actuels, auquel on a donné le nom évocateur de KRACK, est apparu (c’est-à-dire qu’on a communiqué publiquement dessus) aujourd’hui (16 octobre 2017).

En quelques mots : une personne (un équipement) captant physiquement le signal wifi WPA2 d’un réseau, même chiffré en bonne et due forme, peut déchiffrer tout le trafic, et donc lire tout ce qui y passe : la couche de protection WPA2 devient inutile. Si les informations qui transitent sur le réseau ciblé sont en clair, alors on peut les lire sans que vous ne vous en aperceviez. Par contre ce qui est chiffré au niveau supérieur (https, ssh, etc) reste tel quel, avec le niveau de protection attendu.

Il s’agit du genre de problème de sécurité1 énorme dont la célébrité lui vaut d’avoir son site web dédié, ses articles de presse et même un tweet du Ministère de l’Intérieur français. Quant aux solutions, elles seront longues à mettre en place car le protocole lui-même est en cause : même en le suivant scrupuleusement et sans erreur, votre implémentation est à risque. Et comme il est mis en place massivement depuis 15 ans, imagions ensemble le nombre d’équipements (réseaux et ordinateurs) à mettre à jour.

Patch à droite ou à gauche ?

Je n’arrive pas à voir clair pour le moment : je ne sais pas s’il suffit de mettre à jour le client pour éviter le problème, ou s’il faut que le client et le serveur (routeur) soient tous les deux corrigés. Je suppose que pour une correction totale incluant le protocole, il faudra que l’ensemble des équipements soient mis à niveau. Mais il semblerait que patcher le client suffise. A suivre.

Windows

Côté Windows, la mise-à-jour de sécurité semble dater du 10 octobre 2017, soit quelques jours avant la publication des premières infos sur le sujet. Le détail ne sera publié que le 1er novembre, le temps que les correctifs se diffusent. Un article détaillé (paper) est toutefois déjà disponible. S’il décrit en détail le problème, je n’ai pas vu de détail sur les exploitations possibles ; seuls quelques scénarios sont esquissés (en attendant l’ACM Conference on Computer and Communications Security du 1er décembre).

Dans sa mise-à-jour d’octobre, Microsoft a corrigé la vulnérabilité suivante : CVE-2017-13080. Après, une bonne douzaine de CVE ont été réservées pour la description de tous les problèmes identifiés, donc ça semble un peu peu. On verra par la suite…

WPA3

En juin 20182, une nouvelle version de la norme WPA, estampillée 3, voit le jour sous sa forme finale, avec la promesse de combler les failles présentes dans la version 2, ainsi que la limitation des attaques par dictionnaire. WPA3 n’est pas encore obligatoire, et un dispositif WPA2 pourra se connecter sur du WPA3. Espérons que cela n’introduise pas de faille du genre Freak.

Voir aussi