Failles de sécurité critiques dans les réseaux Wi-Fi
Des vulnérabilités de sécurité classées critiques ont été découvertes. Ces failles de sécurité affectent les réseaux wifi utilisant l’authentification par clé prépartagée ou le 802.1x qui correspond à l’authentification centralisée au travers d’un serveur RADIUS. Ce mécanisme est présent dans de très nombreux équipements, principalement en entreprises. Les fabricants de bornes wifi comme Cisco, Linksys, D-Link ou encore Apple sont touchés sans distinction et cette liste est loin d’être exhaustive. Il est ainsi urgent de procéder à l’application des mises à jour de ces équipements dès que ces dernières seront disponibles.
Nos clients protégés
La sécurité est notre maître mot au sein de Nation Systems. Nous nous sommes déjà connecté aux réseaux sans-fil managés de nos clients afin d’appliquer les correctifs déjà diffusés par nos fabricants partenaires comme Cisco Meraki et Ubiquiti. Une portion restreinte de nos équipements ne sont pas encore à jour et le seront dès que les patchs seront disponibles. En attendant les clients impactés ont été alertés et des alternatives ont été mises en place. Si un fabricant ne diffuse pas les mises à jours suite à une faille comme celle-ci nous cesseront la commercialisation des produits impactés et remplaceront les équipements gratuitement chez nos clients.
Mise à jour 16/10 : Après quelques échanges avec notre troisième fournisseur, un correctif est actuellement en test et devrait être déployé demain. Nous attendons le retour du dernier fabricant dont seulement quatre émetteurs wifi sont en service dans les locaux d’un client. Ces bornes représentent moins de 1% de nos réseaux et nous aller les changer et cesser nos relations avec ce fournisseur sans retour dans les 24H.
Mise à jour 17/10 : Un fabricant n’a pas libéré rapidement de mise à jour pour ses produits. Nous avons retiré et remplacé à nos frais ses bornes chez nos clients comme nous l’avions annoncé.
Quels sont les risques ?
En exploitant ces vulnérabilités, il est possible de compromettre la confidentialité des échanges. En vulgarisant, il est possible de déchiffrer les échanges que l’on pense être sécurisé, usurper l’identité d’un utilisateur ou d’un serveur central pour récupérer par exemple les identifiants et mots de passe des utilisateurs. Les attaques de type MIM pouvant être mises en œuvre permettent par exemple de vous transmettre un virus lorsque vous téléchargez un fichier sur internet, de créer une page internet de phishing indétectable aux yeux des utilisateurs par exemple.
Plus d’informations à ce sujet
En France le CERT-FR a émis un bulletin d’alerte aujourd’hui sous le numéro CERTFR-2017-ALE-014. Outre atlantique, le bulletin de sécurité principal est le CVE-2017-13082 qui référence les exploits liés à ces failles. Sur le site krackattacks.com les attaques sont détaillées avec les contre-mesures à adopter. Un POC (Proof of Concept) répondant au nom de KRACK (abréviation de Key Reinstallation Attacks) démontre la faisabilité de ces attaques.
Qu’est-ce que le standard IEEE 802.11r ?
Le standard Wi-Fi IEEE 802.11r est implanté dans les bornes wifi de nombreux fabricants. Grâce à cette amélioration les équipements connectés à un réseau sans-fil peuvent aisément évoluer au sein d’un bâtiment équipé de plusieurs émetteurs wifi. Cette amélioration du standard IEEE 802.11 facilite la bascule entre les différentes bornes wifi. Les coupures liées aux reconnexions pouvaient atteindre avant ceci plusieurs secondes. Cela dégradait fortement l’expérience utilisateur. Imaginez les coupures avec l’utilisation de la téléphonie en VoIP ou le téléchargement d’un document, la lecture d’une vidéo. Avec ce standard actualisé, le retard lié à la nouvelle authentification est évalué à 50 millisecondes, il est parfois plus élevé lorsque l’authentification est faite sur un serveur hors site.
Commentaires récents