KRACKs : Key Reinstallation AttaCKs, de nouvelles attaques sur les protocoles Wi-Fi WPA et WPA2

Ce lundi 16 octobre 2017, une nouvelle série d’attaques à l’encontre des protocoles Wi-Fi WPA et WPA2 a été divulguée par un chercheur en sécurité, Mathy Vanhoef. Ces vulnérabilités permettent, quand elles sont exploitées avec succès, de déchiffrer tout ou partie du trafic réseau échangé via le réseau Wi-Fi.

Les protocoles WPA et WPA2, définis respectivement en 2003 et 2004, visaient à implémenter plus de sécurité, corriger des vulnérabilités inhérentes à leur ancêtre WEP et suivre des standards comme IEEE 802.11i. Ces derniers intègrent donc plus de mesures de sécurité visant à protéger l’intégrité (vérification contre les pertes et altérations) et la confidentialité (chiffrement) des échanges en Wi-Fi entre un client et le point d’accès.

De par son fonctionnement, le Wi-Fi et ses protocoles associés sont régulièrement étudiés et mis à l’épreuve en termes de sécurité. En effet, contrairement aux échanges « câblés », ils peuvent être attaqués à distance, tant que l’utilisateur malveillant est à portée d’ondes. De plus, les réseaux Wi-Fi sont omniprésents, qu’il s’agisse d’une utilisation domestique ou en entreprise. Ces points font de cette technologie une cible de choix.

KRACKs : Key Reinstallation AttaCKs

Depuis leur publication, les protocoles d’échange sécurisé Wi-Fi WPA et WPA2 ont vu apparaître plusieurs vulnérabilités de toutes sortes (Bruteforce, PIN WPS, etc.). Cette nouvelle attaque est, quant à elle, particulièrement dévastatrice, car elle repose sur des faiblesses du protocole dont l’ampleur peut être plus importante encore selon son implémentation ou le type d’échange utilisé (AES/AES-CCMP, TKIP, GCMP, etc.).

Les attaques KRACKs reposent sur le principe du « 4-way handshake » ou échange en 4 temps, qui s’opèrent lorsqu’un utilisateur tente de se connecter au réseau Wi-Fi et permet d’initialiser l’échange sécurisé (notamment par l’entente et l’échange de secrets). En effet, le chercheur a découvert que le 3e échange sur les 4 requis pour l’initialisation de la connexion pouvait être rejoué sans limites et provoquait la réinitialisation et la réutilisation de plusieurs valeurs, dont un vecteur d’initialisation (« Nonce »), dont la solidité cryptographique des protocoles dépend de sa non-réutilisation.

En rejouant plusieurs fois ce 3e échange, un attaquant en position d’interception (« man-in-the-middle ») ou en capacité de forcer le point d’accès à rejouer le 3e message, peut donc être en mesure de forcer plusieurs transmissions avec le même vecteur d’initialisation, voire pour certains systèmes d’exploitation comme Linux ou Android, d’utiliser une valeur prévisible. Il est alors possible de conduire d’autres attaques cryptographiques afin de déchiffrer partiellement ou, dans la pire des situations, l’intégralité du trafic échangé en Wi-Fi. Selon les environnements (« handshake », implémentation, protocoles), il est aussi possible pour l’attaquant de passer de la « simple écoute » en déchiffrant des paquets, à une injection/altération de paquets pour rajouter, par exemple, du code malveillant au sein de pages web consultées par le client.

Conséquences

Le principal risque associé à l’exploitation de cette vulnérabilité est donc la fuite de données. Selon les différents paramètres propres à chaque environnement Wi-Fi, le volume de données sensibles potentiellement dérobées peut être important.

De nombreux échanges restent cependant sécurisés malgré cette découverte. En effet, les échanges chiffrés à plus « haut niveau » comme pour la couche applicative par exemple, ne sont pas directement impactés. Ces derniers sont chiffrés par l’application, puis par le protocole WPA2, le déchiffrement des échanges Wi-Fi permettant uniquement de retrouver le premier niveau de chiffrement. En s’assurant de bonnes pratiques, telles que l’emploi d’un VPN chiffré sur les Wi-Fi publics ou la consultation des sites en HTTPS, le trafic restera chiffré.

Cependant, de nombreux échanges demeurent, par défaut, non chiffrés (DNS, certains échanges web ou encore au niveau même du système d’exploitation) et peuvent donc être récupérés. Il est également possible, comme présenté dans la vidéo de démonstration, de profiter de ces failles pour conduire d’autres attaques comme le « downgrade » SSL/TLS afin de forcer le client à échanger des messages en clair.

La bonne nouvelle est que, via un système de blocus temporaire de l’information, de divulgation responsable et d’avertissement des principales entités et développeurs concernés, les mises à jours de sécurité pour ces produits devraient arriver rapidement ou sont, pour certaines, déjà disponibles.

Une autre nouvelle rassurante est qu’en mettant simplement à jour les clients, la sécurité des échanges est assurée même lorsque le client se connecte à un point d’accès qui ne serait pas à jour. Cela permet aussi de résoudre des problèmes de rétrocompatibilité d’équipements qui ne pourraient bénéficier de mises à jour.

Pour aller plus loin…

• Plus d’information sur le site dédié à la vulnérabilité : https://www.krackattacks.com/
• La publication technique couvrant la vulnérabilité : https://papers.mathyvanhoef.com/ccs2017.pdf
• Réflexion sur l’IEEE, l’accessibilité aux documents techniques et la découverte tardive de la vulnérabilité : https://blog.cryptographyengineering.com/2017/10/16/falling-through-the-kracks/