Salut à tous,
Du site Numerama :Deux chercheurs en sécurité informatique ont mis au jour des vulnérabilités liées au nouveau protocole de sécurité du Wi-Fi, le WPA3. Cependant, il n'y a aucune raison de s'alarmer.
¨Nouveau protocole de sécurité ne veut pas dire que son inviolabilité est garantie. La récente mésaventure du Wi-Fi Protected Access 3
(WPA3), dont le but est de mieux protéger les liaisons sans fil
établies entre un point d’accès (comme une box) et un client (un PC par
exemple), en est l’illustration. Le successeur du WPA2, aujourd’hui
largement déployé, vient de connaître son premier faux pas.
En principe, avec le WPA3, il est pratiquement impossible de craquer le mot de passe d’un réseau informatique. Or, deux chercheurs spécialisés en sécurité informatique, Eyal Ronen et Mathy Vanhoef (qui s’est déjà distingué il y a quelques années avec Krack, une importante vulnérabilité qui a été découverte en 2017 dans… WPA2), ont mis au jour un moyen d’exploiter des vulnérabilités.
Nom de code : Dragonblood !
Grossièrement, la stratégie des deux experts consiste à se focaliser sur la procédure d’échange de clés appelée « Dragonfly handshake ». Pour le dire simplement, cet échange consiste à valider la bonne association entre le point d’accès sans fil et un terminal qui s’y connecte. En tout, cinq vulnérabilités ont été relevées, toutes regroupées sous l’appellation commune de « Dragonblood » — référence évidente à Dragonfly.
Leurs travaux sont présentés dans un document technique : « Ces attaques ressemblent à des attaques par dictionnaire de mots de passe et permettent à un adversaire [situé à portée du réseau qui est ciblé, ndlr] de récupérer le mot de passe en abusant du timing ou des fuites de canal auxiliaire dans le cache. Nos attaques par canal auxiliaire ciblent la méthode d’encodage des mots de passe du protocole WPA3 ».
Pas de panique !
Reste une question : est-ce que vous êtes vulnérable ?
Non. Le protocole WPA3 a certes été certifié l’année dernière par l’instance qui réunit les industriels fabriquant des systèmes sans fil, la Wi-Fi Alliance, mais les équipements qui sont compatibles avec cette nouvelle norme sont encore très rares. Et ceux-ci sont très peu répandus au sein du grand public. Il faudra beaucoup de temps avant de voir WPA3 supplanter WPA2.
En outre, selon la Wi-Fi Alliance, les vulnérabilités en question ont une portée assez réduite et celles-ci font d’ores et déjà l’objet de correctifs logiciels — les deux auteurs ont en effet alerté d’abord le consortium pour que celui-ci prenne les dispositions adéquates avant de médiatiser Dragonblood. C’est ce qu’on appelle de la divulgation responsable, pratique qui permet à toutes les parties d’avoir un délai pour agir¨... ( Voir l'article au complet )
https://www.numerama.com/tech/480486-wpa3-les-premieres-failles-du-futur-protocole-de-securite-du-wi-fi-apparaissent.html
Pégé
Windows 7 Familiale / Windows XP Pro / Windows 10 / Windows 7 Intégrale / Ubuntu 14.04 LTS / Linux Mint 17 / Mac ¨Tiger¨, version 10.4.11
Du site Numerama :Deux chercheurs en sécurité informatique ont mis au jour des vulnérabilités liées au nouveau protocole de sécurité du Wi-Fi, le WPA3. Cependant, il n'y a aucune raison de s'alarmer.
¨Nouveau protocole de sécurité ne veut pas dire que son inviolabilité est garantie. La récente mésaventure du Wi-Fi Protected Access 3
(WPA3), dont le but est de mieux protéger les liaisons sans fil
établies entre un point d’accès (comme une box) et un client (un PC par
exemple), en est l’illustration. Le successeur du WPA2, aujourd’hui
largement déployé, vient de connaître son premier faux pas.En principe, avec le WPA3, il est pratiquement impossible de craquer le mot de passe d’un réseau informatique. Or, deux chercheurs spécialisés en sécurité informatique, Eyal Ronen et Mathy Vanhoef (qui s’est déjà distingué il y a quelques années avec Krack, une importante vulnérabilité qui a été découverte en 2017 dans… WPA2), ont mis au jour un moyen d’exploiter des vulnérabilités.
Nom de code : Dragonblood !
Grossièrement, la stratégie des deux experts consiste à se focaliser sur la procédure d’échange de clés appelée « Dragonfly handshake ». Pour le dire simplement, cet échange consiste à valider la bonne association entre le point d’accès sans fil et un terminal qui s’y connecte. En tout, cinq vulnérabilités ont été relevées, toutes regroupées sous l’appellation commune de « Dragonblood » — référence évidente à Dragonfly.
Leurs travaux sont présentés dans un document technique : « Ces attaques ressemblent à des attaques par dictionnaire de mots de passe et permettent à un adversaire [situé à portée du réseau qui est ciblé, ndlr] de récupérer le mot de passe en abusant du timing ou des fuites de canal auxiliaire dans le cache. Nos attaques par canal auxiliaire ciblent la méthode d’encodage des mots de passe du protocole WPA3 ».
Pas de panique !
Reste une question : est-ce que vous êtes vulnérable ?
Non. Le protocole WPA3 a certes été certifié l’année dernière par l’instance qui réunit les industriels fabriquant des systèmes sans fil, la Wi-Fi Alliance, mais les équipements qui sont compatibles avec cette nouvelle norme sont encore très rares. Et ceux-ci sont très peu répandus au sein du grand public. Il faudra beaucoup de temps avant de voir WPA3 supplanter WPA2.
En outre, selon la Wi-Fi Alliance, les vulnérabilités en question ont une portée assez réduite et celles-ci font d’ores et déjà l’objet de correctifs logiciels — les deux auteurs ont en effet alerté d’abord le consortium pour que celui-ci prenne les dispositions adéquates avant de médiatiser Dragonblood. C’est ce qu’on appelle de la divulgation responsable, pratique qui permet à toutes les parties d’avoir un délai pour agir¨... ( Voir l'article au complet )
https://www.numerama.com/tech/480486-wpa3-les-premieres-failles-du-futur-protocole-de-securite-du-wi-fi-apparaissent.html
Pégé
Windows 7 Familiale / Windows XP Pro / Windows 10 / Windows 7 Intégrale / Ubuntu 14.04 LTS / Linux Mint 17 / Mac ¨Tiger¨, version 10.4.11
