WiFi : la sécurité WPA 3 déjà crackée avant même sa généralisation !

Le WiFi risque bien de rester durablement un mode de connexion extrêmement peu sécurisé : après la découverte de failles autour du protocole de sécurité WPA2, son successeur, WPA3, devait permettre de réhausser la sécurité des réseaux sans fil – au prix d'une très lente transition. Or, avant même qu'il n'ai pu se généraliser, des chercheurs ont découvert plusieurs failles qui permettent à un attaquant de retrouver la clé du réseau WiFi. 

WiFi WPA3 Sécurité

La sécurité des réseaux WiFi est durablement en pointillés : en janvier 2017, un exploit du protocole de sécurité WPA2, Krack, avait fait les gros titres. Et pour cause : cette vulnérabilité ouvre la voie à toute une famille d'attaques simplifiant l'acquisition non autorisée des clés WiFi par des pirates, baptisées Key Reinstallation Attacks. Seule solution pour remédier au problème : mettre sur pied un nouveau protocole. Ainsi, dès 2018, le WiFi Alliance lance WPA3, nouvelle version du protocole qui sécurise les connexions aux réseaux sans fil.

Lire également : faille Krack du Wi-Fi WPA2, qu'est-ce que c'est, quels appareils sont touchés et comment se protéger ?

Le WPA3 est déjà cracké

Premier problème : lancer un nouveau protocole de sécurité WiFi n'est pas simple. Il faut que des routeurs compatibles soient disponibles, et que tous les équipements, y compris les smartphones et ordinateurs, aient pu être mis à jour – mais visiblement dans de nombreux cas, cette “mise à jour” signifie un changement de hardware. Or, un nouveau problème vient de faire surface : la première implémentation de WPA3-Personal comporte des failles critiques… qui permettent à un attaquant de retrouver la clé WiFi comme c'était déjà le cas avec WPA2.

Les chercheurs en sécurité Mathy Vanhoef et Eyal Ronen expliquent sur le blog The Hacker News“concrètement, les attaquants peuvent alors lire des informations que WPA3 était censé chiffrer de manière sécurisée. Cela peut être exploité pour voler des informations sensibles lors de leur transmission, comme des numéros de cartes bancaire, mots de passe, messages déchet, email etc”. Les chercheurs pointent du doigt le nouveau protocole de handshake permettant d'initier la connexion, baptisé Dragonfly.

Il comporte, selon eux, deux types de failles par design. La première permet à un attaquant de forcer l'utilisation de WPA2 – car les premières implémentations du protocoles comportent un mode hybride pour maximiser la compatibilité avec les appareils anciens. Il suffit pour cela de configurer un point d'accès qui n'accepte que le WPA2, puis à mener une attaque KRACK sur ce protocole. Les chercheurs décrivent aussi un autre type d'attaque qui se décline en deux variantes : basée sur le cache et basée sur le timing.

Lire également : comment sécuriser le réseau WiFi de la maison

WiFi Alliance travaille avec les vendeurs pour patcher les appareils concernés

Ils racontent : “pour notre attaque de partitionnement de mot de passe, nous avons besoin d'enregistrer plusieurs handshakes avec différentes addresses MAC. Nous pouvons obtenir des handshakes avec différentes adresses MAC en ciblant de multiples clients sur le même réseau (ex: convaincre plusieurs utilisateurs de télécharger la même application malicieuse). Si nous ne pouvions seulement attaquer un client, nous pourrions configurer des AP zombie avec le même SSID et une adresse MAC spoofée”. 

Par ailleurs, les chercheurs ont documenté une attaque de type Denial of Service qui peut être initiée en saturant un “point d'accès en initiant une large quantité de handshakes avec un point d'accès compatible WPA3” – et en contournant le mécanisme censé justement protéger ce protocole contre ce genre d'attaques. Non contents de révéler ces failles, les chercheurs ont mis au point quatre outils expérimentaux permettant de les exploiter.

De son côté, Wi-Fi Alliance assure travailler avec les vendeurs pour patcher ces failles. L'association parle de mises à jour au cas par cas des vendeurs de matériels compatibles WPA3 – ces mises à jour ne devraient pas, néanmoins, impacter l'intéropérabilité des équipements compatibles : “ces mises à jour ne requièrent aucun changement qui affectent l'interopérabilité entre les appareils WiFi. Les utilisateurs peuvent attendre de tous leurs appareils WiFi, patchés ou non-patchés, qu'is continuent de bien fonctionner ensemble”.

Lire également : Une faille WiFi menace 6,2 milliards d'ordinateurs, smartphones, routeurs, PS4 et Xbox One

Si d'autres failles venaient à être découvertes, cela pourrait au moins avoir un effet positif : pousser le développement de technologies alternatives au WiFi plus sécurisées, comme le LiFi – bien plus difficile à attaquer étant donné qu'il se base sur la lumière et que celle-ci, jusqu'à preuve du contraire, ne traverse pas les murs…


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Amazon réduit de moitié le prix du Fire TV Stick 4K Select : ce petit dongle redonne un second souffle aux vieilles TV

Amazon propose actuellement le Fire TV Stick 4K Select à 26,99 € au lieu de 54,99 €, soit une réduction de plus de 50 % par rapport à son prix…

Galaxy A56 : ces 250 € de remise font fondre le prix du smartphone de Samsung, c’est une affaire !

À la base, le Galaxy A56 est le smartphone de milieu de gamme de Samsung. Mais grâce à une double promotion, vous pourrez le trouver à moins de 300 euros…

Gemini se met aussi aux bulles sur Android 17, de quoi ravir les adeptes du multitâche sur smartphone

Lors de sa conférence Google I/O, le géant de Mountain View a annoncé une petite révolution – notamment « agentique » – pour Gemini. Et l’entreprise poursuit ses efforts pour rendre son…

Smartphones : n’achetez surtout pas ces coques de protection, elles ne sont pas aussi efficaces que vous le pensez

Séduisantes sur le papier, les coques antibactériennes ne sont pas forcément les plus efficaces pour vous protéger contre les microbes. Cette bonne vieille méthode reste encore la meilleure option, en…

Cette exoplanète rôtie par son étoile fait avancer la science, malgré elle

Comme toute Jupiter chaude, l’exoplanète HD 80606 b voit sa température grimper dès qu’elle frôle son étoile. Mais cette géante gazeuse est en réalité un monde bien plus extrême que…

Pixel 10 Pro : le flagship de Google est à moins de 700 € avec un Google TV Streamer et un support de smartphone Pixelsnap offerts

Boulanger cumule les offres intéressantes sur le Google Pixel 10 Pro. Plus de 200 euros de réduction, 2 cadeaux, 6 mois d’assurances offerts, vous allez être gâté. Dans cet article,…

GTA 6 : on connaît enfin la date des précommandes et elle est imminente !

Treize ans : c’est le nombre d’années qu’il aura fallu pour que GTA 6 sorte enfin. Ce jeu est déjà, avant même sa sortie, un véritable phénomène mondial, au point qu’on…

Le DJI Mini 4K perd plus de 110 € : le drone ultra léger profite d’une remise de 37 %

Le DJI Mini 4K passe à moins de 190 € chez Amazon, grâce aux offres du Prime Day en avant-première. La baisse de prix est d’environ 37 % par rapport…

Porsche tranche enfin sur l’avenir de sa 911, et les puristes vont adorer

Depuis des années, les fans de la 911 tremblaient à l’idée de voir leur bolide culte passer à l’électrique. Le nouveau patron de Porsche vient enfin de les rassurer en…

Dreame H12 Pro Ultra : l’aspirateur laveur avec auto-nettoyage est à moitié prix chez Amazon

Amazon baisse fortement le prix du Dreame H12 Pro Ultra à l’approche du Prime Day. L’aspirateur laveur est actuellement à moitié prix, et passe à seulement 158 €, au lieu…