Auteur Sujet: KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2  (Lu 13942 fois)

0 Membres et 1 Invité sur ce sujet

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #12 le: 17 octobre 2017 à 11:29:15 »
C'est typiquement le genre de vulnérabilité qui sera exploitée deux minutes par les curieux ou les gens qui veulent se sentir puissants en utilisant Kali puis qui la laisseront tomber.

Les organismes de renseignement ont bien mieux, ceux qui veulent voir du trafic non protégé ont déjà les hotspots Wifi depuis 10 ans ou peuvent installer un exit Tor/Hola. Le trafic SSL annihile une partie de l'intérêt de ce genre d'attaque.

vivien

  • Administrateur
  • *
  • Messages: 46 992
    • Twitter LaFibre.info
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #13 le: 17 octobre 2017 à 14:26:52 »
Coté des systèmes d’exploitation Microsoft, les correctifs ont été poussés dans le path tuesday du mardi 10 octobre 2017. Le géant des logiciels a précisé ne pas avoir révélé la faille avant que d'autres acteurs du secteur "aient pu mettre au point et diffusé des mises à jour de sécurité".

Je remarque que Microsoft et Debian / Ubuntu sont souvent très rapides.
RHEL et ses dérivés ne devraient pas tarder.
MacOS X, iOS surtout pour Android, il faut patienter...

Des correctifs de sécurité sont disponible pour Debian, Ubuntu et dérivés :

Changements pour les versions wpasupplicant :
Version installée : 2.4-0ubuntu9
Version disponible : 2.4-0ubuntu9.1

Version 2.4-0ubuntu9.1 :

  * SECURITY UPDATE: Multiple issues in WPA protocol
    - debian/patches/2017-1/*.patch: Add patches from Debian stretch
    - CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
      CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087,
      CVE-2017-13088
  * SECURITY UPDATE: Denial of service issues
    - debian/patches/2016-1/*.patch: Add patches from Debian stretch
    - CVE-2016-4476
    - CVE-2016-4477


alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 128
  • Delta S 10G-EPON sur Les Ulis (91)
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #14 le: 17 octobre 2017 à 15:31:50 »
Donc on comprend que les deux chercheurs en sécurité aient publié leur découverte seulement hier. Cela n'aurait pas été responsable sinon.

https://www.windowslatest.com/2017/10/16/wi-fi-wpa2-vulnerability-windows-fixed/

scope

  • Abonné Orange Fibre
  • *
  • Messages: 180
  • Plaisir (78) IPV6 jet 1000/250 Mb/s
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #15 le: 17 octobre 2017 à 18:42:44 »

"La protection de nos connexions Wi-Fi n'est en théorie plus assurée. Une faille hautement critique de sécurité dans le protocole Wi-Fi Protected Access II (WPA2) permet à des pirates d'intercepter le trafic Wi-Fi entre les ordinateurs et les points d'accès."
cf:
http://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm

vivement les corrections !

vivien

  • Administrateur
  • *
  • Messages: 46 992
    • Twitter LaFibre.info
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #16 le: 17 octobre 2017 à 18:56:50 »
Donc on comprend que les deux chercheurs en sécurité aient publié leur découverte seulement hier. Cela n'aurait pas été responsable sinon.
Message ironique, non ?

Je te rassure : La description complète des vulnérabilités devrait être effectuée le 1er novembre prochain à la Conférence ACM (Dallas).

Enfin, cela reste une révélation rapide si il faut que tous les FAI mettent à jour leur box pour patcher le WiFi.
On sait bien que c'est trop rapide pour avoir une majorité des box corrigées.
Pour Android, j'aimerais bien avoir le % du parc qui est corrigé au 1er novembre. 0% ou 1% ? Le suspense est total !

Quid de la compatibilité d'un client non mis à jour (vu que les clients reçoivent aussi des mises à jour) avec  un point d’accès Wifi mis à jour ?

tivoli

  • Toulouse (31)
  • Abonné Bbox fibre
  • *
  • Messages: 1 944
  • Toulouse (31)
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #17 le: 17 octobre 2017 à 19:25:44 »
Quid de la compatibilité d'un client non mis à jour (vu que les clients reçoivent aussi des mises à jour) avec  un point d’accès Wifi mis à jour ?[/size]

Pas de probleme, je viens de patcher mon ubnt et aucun pb detecte ni android ni IOS ni MAC ni windows

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 377
  • Lyon (69) / St-Bernard (01)
    • Twitter
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #18 le: 17 octobre 2017 à 19:46:07 »
Pareil ici aussi, toutes les bornes de mes clients (+ perso) à jour, aucun souci remonté par le support

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 128
  • Delta S 10G-EPON sur Les Ulis (91)
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #19 le: 17 octobre 2017 à 21:45:16 »
Message ironique, non ?

Non. J'étais étonné que des chercheurs en sécurité dévoilent une faille de sécurité avant même que le moindre patch de sécurité ait pu être déployé. Cela aurait pu ruiner leur réputation de sérieux dans le domaine.

En sachant que Microsoft avait publié les patchs de sécurité une semaine avant, je comprend mieux qu'ils aient publié leurs découvertes. Mais cela a quand même été rapide, avant que les distributions Linux aient publié les leurs, sans parler des systèmes Android.

Tous les détails n'ont pas été publiés, OK, mais il y a assez de détails dans ce que j'ai lu pour orienter dans la bonne direction des crackers.

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #20 le: 17 octobre 2017 à 22:49:16 »
Quid de la compatibilité d'un client non mis à jour (vu que les clients reçoivent aussi des mises à jour) avec  un point d’accès Wifi mis à jour ?[/size]
Aucun problème à ce niveau-là, les failles proviennent (principalement) du fait que la norme n'empêche pas de réutiliser des clefs de chiffrement, l'échange de ces clefs en lui-même n'est pas touché (heureusement, puisqu'il a été mathématiquement vérifié)
Citer
Do we now need WPA3?

No, luckily implementations can be patched in a backwards-compatible manner. This means a patched client can still communicate with an unpatched access point (AP), and vice versa.

Par contre, je n'ai pas très bien compris pourquoi les AP sont vulnérables, et en quoi c'est moins urgent que pour les clients. (en dehors des cas expliqués sur le site de fast roaming et de répéteurs qui sont aussi clients)

alegui

  • Abonné Bbox fibre
  • *
  • Messages: 464
  • FTTH Courbevoie (92)
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #21 le: 17 octobre 2017 à 22:55:43 »
Non. J'étais étonné que des chercheurs en sécurité dévoilent une faille de sécurité avant même que le moindre patch de sécurité ait pu être déployé. Cela aurait pu ruiner leur réputation de sérieux dans le domaine.
Apparemment la date a été choisie en concertation avec l'industrie, une bonne partie des entreprises concernées ayant été alertées en juillet/août pour des corrections en ces deux derniers jours.
Et vu le nombre de systèmes concernés, impossible d'attendre que patch soit massivement déployé pour pouvoir communiquer dessus, il faudrait attendre des années !

Marin

  • Client Bbox vdsl
  • Modérateur
  • *
  • Messages: 2 804
  • 73
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #22 le: 17 octobre 2017 à 23:06:46 »
Tous les détails n'ont pas été publiés, OK, mais il y a assez de détails dans ce que j'ai lu pour orienter dans la bonne direction des crackers.

Il n'y a qu'un papier de recherche entier qui a été publié mais pas de risque, il est en anglais et ne sera donc pas compris par les crackers pakistanais qui s'apprêtent à envahir nos campagnes pour collecter nos records SSL.

buddy

  • Expert
  • Abonné Free fibre
  • *
  • Messages: 15 071
  • Alpes Maritimes (06)
KRACK (Key Reinstallation Attacks): Faille majeure dans WPA2
« Réponse #23 le: 17 octobre 2017 à 23:28:45 »
Non. J'étais étonné que des chercheurs en sécurité dévoilent une faille de sécurité avant même que le moindre patch de sécurité ait pu être déployé. Cela aurait pu ruiner leur réputation de sérieux dans le domaine.

En sachant que Microsoft avait publié les patchs de sécurité une semaine avant, je comprend mieux qu'ils aient publié leurs découvertes. Mais cela a quand même été rapide, avant que les distributions Linux aient publié les leurs, sans parler des systèmes Android.

Tous les détails n'ont pas été publiés, OK, mais il y a assez de détails dans ce que j'ai lu pour orienter dans la bonne direction des crackers.

Ça suit globalement toujours le même procédé.
La faille est communiquée à qui en a besoin puis ils se mettent d'accord sur un jour de divulgation et release de patch.. (mais déjà à cette étape elle peut se retrouver entre de mauvaises mains.. Et donc être diffusée à de méchants pirates)

Le problème c'est que si sur Linux tu sors les patches trop tôt du reverse engineering peut être fait..


Pour les failles heartbleed ou shellshock (là  c'était surtout côté serveur)  la publication des patches a été faite le jour même de la divulgation pour toutes les distributions.

Donc généralement quelques heures avant la divulgation de la faille tu peux mettre à jour ton serveur/pc.

Si tu dois attendre que tout le monde ait patché  tu n'as pas fini d'attendre.. Google par exemple laisse 90 jours. Au 91 ème la faille est publiée patch ou pas.

Ça a été le cas pour une faille identifiée le 25 novembre 2016. Divulgation le 23 février 2017. Microsoft  a sorti le patch en mars..
Source  https://www.generation-nt.com/microsoft-edge-ie-vulnerabilite-0day-google-actualite-1939860.html