Le consortium Wi-Fi Alliance a profité du CES 2018 pour annoncer la disponibilité prochaine d’une nouveau standard cryptographique censé améliorer la confidentialité des échanges sur les réseaux sans fil. Il faut dire que l’année 2017 n’a pas été triste de ce point de vue. En octobre dernier, le chercheur en sécurité Mathy Vanhoef avait dévoilé l’attaque Krack qui permettait de casser le chiffrement WPA2 pour tous les terminaux sans fil. Des patchs ont certes été diffusés, mais encore faut-il qu’ils soit déployés et installés, ce qui est loin d’être simple au niveau des smartphones Android ou des objets connectés.
Pour rétablir la confiance, Wi-Fi Alliance va donc remplacer WPA2 par WPA3, un standard qui devrait être finalisé avant le fin de cette année. Les détails techniques ne sont pas encore connus, mais le consortium a d’ores et déjà voulu présenter quatre caractéristiques importantes. La première est que WPA3 aura « des protections robustes même si les utilisateurs choisissent des mots de passe qui ne respectent pas les recommandations en terme de complexité ».
Un nouveau protocole pour générer les clés de chiffrement
Selon Mathy Vanhoef, cela signifie que les pirates ne pourront plus deviner le mot de passe d’un réseau Wi-Fi en utilisant des attaques par dictionnaire. Le chercheur en sécurité subodore que le consortium va utiliser un nouveau protocole pour assurer la phase de négociation initiale qui permet d’authentifier les terminaux et convenir d’une clé de session pour chiffrer le trafic. Ce protocole serait « Simultaneous Authentication of Equals », alias « Dragonfly ».
That means dictionary attacks no longer work. The handshake they're referring to is likely Simultaneous Authentication of Equals (SAE). Which is also called Dragonfly. See https://t.co/WNZnGzZTO6
— Mathy Vanhoef (@vanhoefm) January 8, 2018
Actuellement, cette phase de négociation – également appelé « 4-way hand shake » – est le talon d’Achille du WPA2. C’est là que se trouvent les vulnérabilités de l’attaque Krack. Et même avant la découverte de cette faille, il était déjà possible pour un pirate de capturer pendant cette phase de négociation l’empreinte cryptographique du mot de passe et d’effectuer ensuite une attaque par force brute, tranquillement chez lui (avec l’outil aircrack-ng par exemple). Si le mot de passe est simple – ce qui est souvent le cas – il a toutes les chances de réussir son coup.
La deuxième grande nouveauté est la capacité de protéger les réseaux Wi-Fi publics en s’appuyant sur « un chiffrement des données individualisé ». Selon Mathy Vanhoef, cette phrase ferait référence au protocole « Opportunistic Wireless Encryption » (OWE) qui utilise l’algorithme Diffie-Hellman pour définir de manière ad-hoc entre le point d’accès et le terminal de l’utilisateur une clé de session pour chiffrer le trafic.
Pirater un réseau Wi-Fi public n’est pas très difficile
Cette façon de faire serait vraiment un grand progrès. A ce jour, il n’existe que deux façons de gérer des réseaux Wi-Fi dans les lieux publics : soit on désactive totalement le chiffrement (ce qui est mal), soit on affiche le mot de passe à la vue de tous. Mais même dans ce dernier cas, il n’est pas très compliqué pour un pirate de déchiffrer les flux. Connaissant le mot de passe, il lui suffit de capturer les données de négociation entre le point d’accès et sa victime pour en déduire la clé de session. C’est pourquoi il est toujours conseillé d’activer un VPN sur un Wi-Fi public. Avec OWE, ce type d’attaque ne serait plus possible.
Autre nouveauté : un « processus simplifié pour configurer les appareils qui ont une interface graphique limitée ou inexistante ». Selon Bleeping Computers, l’idée serait que l’on puisse paramétrer certains équipements directement depuis un smartphone ou un PC portable. Enfin, le WPA3 intégrerait une nouvelle « suite cryptographique 192-bit » qui sera conforme aux recommandations du ministère de la défense américain et qui pourra donc être utilisée dans des lieux sensibles comme les agences gouvernementales ou les sites militaires.
Reste à savoir quand le nouveau standard WPA3 sera réellement disponible. Après la finalisation du standard, il faut laisser le temps aux fournisseurs de l’implémenter dans leurs produits. Bref, le WPA3 n’arrivera pas dans nos foyers avant 2019.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
