Faille Wifi du WPA2

Toutes les attaques contre WPA2 utilisent une nouvelle technique appelée attaque de réinstallation clé (Key reinstallation attacks KRACK):

Attaques par réinstallation clés

Dans une attaque de réinstallation clé, l’adversaire incite une victime à réinstaller une clé déjà utilisée. Ceci est réalisé en manipulant et en rejouant les messages de négociation cryptographique. Lorsque la victime réinstalle la clé, les paramètres associés, tels que le numéro de paquet de transmission incrémentiel et le numéro de paquet de réception (c’est-à-dire le compteur de relecture), sont réinitialisés à leur valeur initiale.
Essentiellement, pour garantir la sécurité, une clé ne doit être installée et utilisée qu’une seule fois. Malheureusement,les chercheur sde la KU Leuven ont constaté que ce n’est pas garanti par le protocole WPA2.
En manipulant des « poignées de main » cryptographiques, on peut abuser de cette faiblesse dans la pratique.

L’attaque est particulièrement catastrophique vis-à-vis des versions 2.4 et supérieures de wpa_supplicant, un client Wi-Fi couramment utilisé sous Linux.
Ici, le client va installer une clé de cryptage tout-zéro au lieu de réinstaller la clé réelle. Cette vulnérabilité semble être causée par une remarque dans la norme Wi-Fi qui suggère d’effacer la clé de cryptage de la mémoire une fois qu’il a été installé pour la première fois.
Lorsque le client reçoit maintenant un message de la prise de contact à 4 voies, il réinstalle la clé de cryptage maintenant effacée, installant efficacement une clé tout zéro.
Parce que Android utilise wpa_supplicant, Android 6.0  contient également cette vulnérabilité.
Cela rend trivial d’intercepter et de manipuler le trafic envoyé par ces appareils Linux et Android . Notez que 50% des appareils Android sont actuellement vulnérables à cette variante particulièrement dévastatrice de l’attaque.

Devrais-je changer mon mot de passe Wi-Fi?

La modification du mot de passe de votre réseau Wi-Fi n’empêche pas (ou ne limite pas) l’attaque. Vous n’avez donc pas à mettre à jour le mot de passe de votre réseau Wi-Fi. Au lieu de cela, vous devez vous assurer que tous vos appareils sont mis à jour, et vous devez également mettre à jour le firmware de votre routeur.

Pour les détails, voir https://www.krackattacks.com/ dont cet article s’est inspiré

Les Conseils de Denis JACOPINI
extrait de https://www.lenetexpert.fr/alerte-faille-wifi-du-wpa2-risques-et-solutions-pour-sen-proteger/:

  1. Mettez à jour les systèmes d’exploitation de vos ordinateurs, smartphones, tablettes et objets.
  2. Mettez à jour votre point d’accès Wifi (le firmware de votre Box, routeur…)
  3. Modifier le SSID ;
  4. Modifier le mot de passe par défaut ;
  5. Filtrage des adresses MAC ;
  6. Désactiver DHCP ;
  7. Désactiver le MultiCast (pour les appareils qui disposent de cette fonction) ;
  8. Désactiver le broadcast SSID (pour les appareils qui disposent de cette fonction) ;
  9.  Désactiver le WPS (pour les appareils qui disposent de cette fonction) ;
  10. Utilisez un VPN ou un accès https pour envoyer ou recevoir des informations confidentielles
  11. Choisissez un cryptage fort de votre Clé WIFI