La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: butler_fr le 16 octobre 2017 à 19:38:43
-
Je viens de voir sur différents sites d'infos qu'une nouvelle vulnérabilité avait été découverte sur la sécurité des points d'accès wifi.
KRACK pour Key Reinstallation Attack:
D'après ce que j'ai compris l'attaque consiste à faire réèmettre à un appareil wifi une clé de chiffrement qui est normalement unique.
a priori ça ne permettrait pas de se connecter au réseau mais d'en lire les données?
La mise en œuvre semble relativement compliquée par contre.
Vous avez plus d'info sur le comportement exact de la vulnérabilité et ce qui est nécessaire de faire pour la déclencher?
(https://lafibre.info/images/logo/logo_faille_securite.jpg)
-
L'attaque a l'air sympathique tout de même :
https://www.youtube.com/watch?v=Oh4WURZoR98
-
Sinon, il suffit de faire un AP ouvert et écraser le point cible en èmettant plus fort et toutes les machines sous Microsoft Windows vont se re-associer dessus.
-
Pourquoi windows ;)
our key reinstallation attack is exceptionally devastating against Linux and Android 6.0 or higher. This is because Android and Linux can be tricked into (re)installing an all-zero encryption key
https://www.krackattacks.com/
[Mode Troll on]
-
Des correctifs de sécurité sont disponible pour Debian, Ubuntu et dérivés :
Changements pour les versions wpasupplicant :
Version installée : 2.4-0ubuntu9
Version disponible : 2.4-0ubuntu9.1
Version 2.4-0ubuntu9.1 :
* SECURITY UPDATE: Multiple issues in WPA protocol
- debian/patches/2017-1/*.patch: Add patches from Debian stretch
- CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087,
CVE-2017-13088
* SECURITY UPDATE: Denial of service issues
- debian/patches/2016-1/*.patch: Add patches from Debian stretch
- CVE-2016-4476
- CVE-2016-4477
-
Je me demandais d'ailleurs si l'annonce avait été faite après que les principaux fournisseurs d'OS aient préparé un patch. Sinon, ce n'était pas très sérieux.
-
Je n'ai rien trouvé pour l'instant pour RHEL et ses dérivés, même s'il y a des bulletins de sécurité :
https://access.redhat.com/security/cve/cve-2017-13077
-
Désolé j'avais pas vu qu'il y avait déjà un sujet
Concrètement ça se passe comment j'ai une bbox Ubee est ce qu'un correctif sera bientôt sorti ?
Parce que si on ne peut plus utiliser le wifi ça devient bizarre
-
A priori, c'est plutôt les clients qu'il faut mettre à jour. Le problème à mon avis sera surtout pour Android, même si cela ne concerne que les versions 6.0 et ultérieures, car malheureusement, il y a beaucoup de constructeurs, et le support des anciens modèles n'est pas souvent assuré. On va espérer que cette fois-ci, ils se bougeront...
-
A priori, c'est plutôt les clients qu'il faut mettre à jour. Le problème à mon avis sera surtout pour Android, même si cela ne concerne que les versions 6.0 et ultérieures, car malheureusement, il y a beaucoup de constructeurs, et le support des anciens modèles n'est pas souvent assuré. On va espérer que cette fois-ci, ils se bougeront...
J'ai deux smartphone sous version 6.0.1 et un sous 7 0
En espérant que les constructeurs réagissent vite
-
Concrètement ça se passe comment j'ai une bbox Ubee est ce qu'un correctif sera bientôt sorti ?
Est-ce qu'il y a besoin d'un correctif en fait ?
-
Est-ce qu'il y a besoin d'un correctif en fait ?
À moins que j'ai mal lu l'article ?
C'est donc aux fabricants des smartphones de corriger la faille ?
-
C'est typiquement le genre de vulnérabilité qui sera exploitée deux minutes par les curieux ou les gens qui veulent se sentir puissants en utilisant Kali puis qui la laisseront tomber.
Les organismes de renseignement ont bien mieux, ceux qui veulent voir du trafic non protégé ont déjà les hotspots Wifi depuis 10 ans ou peuvent installer un exit Tor/Hola. Le trafic SSL annihile une partie de l'intérêt de ce genre d'attaque.
-
Coté des systèmes d’exploitation Microsoft, les correctifs ont été poussés dans le path tuesday du mardi 10 octobre 2017. Le géant des logiciels a précisé ne pas avoir révélé la faille avant que d'autres acteurs du secteur "aient pu mettre au point et diffusé des mises à jour de sécurité".
Je remarque que Microsoft et Debian / Ubuntu sont souvent très rapides.
RHEL et ses dérivés ne devraient pas tarder.
MacOS X, iOS surtout pour Android, il faut patienter...
Des correctifs de sécurité sont disponible pour Debian, Ubuntu et dérivés :
Changements pour les versions wpasupplicant :
Version installée : 2.4-0ubuntu9
Version disponible : 2.4-0ubuntu9.1
Version 2.4-0ubuntu9.1 :
* SECURITY UPDATE: Multiple issues in WPA protocol
- debian/patches/2017-1/*.patch: Add patches from Debian stretch
- CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080,
CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087,
CVE-2017-13088
* SECURITY UPDATE: Denial of service issues
- debian/patches/2016-1/*.patch: Add patches from Debian stretch
- CVE-2016-4476
- CVE-2016-4477
-
Donc on comprend que les deux chercheurs en sécurité aient publié leur découverte seulement hier. Cela n'aurait pas été responsable sinon.
https://www.windowslatest.com/2017/10/16/wi-fi-wpa2-vulnerability-windows-fixed/
-
"La protection de nos connexions Wi-Fi n'est en théorie plus assurée. Une faille hautement critique de sécurité dans le protocole Wi-Fi Protected Access II (WPA2) permet à des pirates d'intercepter le trafic Wi-Fi entre les ordinateurs et les points d'accès."
cf:
http://www.zdnet.fr/actualites/faille-majeure-dans-wpa2-wi-fi-que-faire-qui-est-concerne-maj-39858724.htm
vivement les corrections !
-
Donc on comprend que les deux chercheurs en sécurité aient publié leur découverte seulement hier. Cela n'aurait pas été responsable sinon.
Message ironique, non ?
Je te rassure : La description complète des vulnérabilités devrait être effectuée le 1er novembre prochain à la Conférence ACM (Dallas).
Enfin, cela reste une révélation rapide si il faut que tous les FAI mettent à jour leur box pour patcher le WiFi.
On sait bien que c'est trop rapide pour avoir une majorité des box corrigées.
Pour Android, j'aimerais bien avoir le % du parc qui est corrigé au 1er novembre. 0% ou 1% ? Le suspense est total !
Quid de la compatibilité d'un client non mis à jour (vu que les clients reçoivent aussi des mises à jour) avec un point d’accès Wifi mis à jour ?
-
Quid de la compatibilité d'un client non mis à jour (vu que les clients reçoivent aussi des mises à jour) avec un point d’accès Wifi mis à jour ?[/size]
Pas de probleme, je viens de patcher mon ubnt et aucun pb detecte ni android ni IOS ni MAC ni windows
-
Pareil ici aussi, toutes les bornes de mes clients (+ perso) à jour, aucun souci remonté par le support
-
Message ironique, non ?
Non. J'étais étonné que des chercheurs en sécurité dévoilent une faille de sécurité avant même que le moindre patch de sécurité ait pu être déployé. Cela aurait pu ruiner leur réputation de sérieux dans le domaine.
En sachant que Microsoft avait publié les patchs de sécurité une semaine avant, je comprend mieux qu'ils aient publié leurs découvertes. Mais cela a quand même été rapide, avant que les distributions Linux aient publié les leurs, sans parler des systèmes Android.
Tous les détails n'ont pas été publiés, OK, mais il y a assez de détails dans ce que j'ai lu pour orienter dans la bonne direction des crackers.
-
Quid de la compatibilité d'un client non mis à jour (vu que les clients reçoivent aussi des mises à jour) avec un point d’accès Wifi mis à jour ?[/size]
Aucun problème à ce niveau-là, les failles proviennent (principalement) du fait que la norme n'empêche pas de réutiliser des clefs de chiffrement, l'échange de ces clefs en lui-même n'est pas touché (heureusement, puisqu'il a été mathématiquement vérifié)
Do we now need WPA3?
No, luckily implementations can be patched in a backwards-compatible manner. This means a patched client can still communicate with an unpatched access point (AP), and vice versa.
Par contre, je n'ai pas très bien compris pourquoi les AP sont vulnérables, et en quoi c'est moins urgent que pour les clients. (en dehors des cas expliqués sur le site de fast roaming et de répéteurs qui sont aussi clients)
-
Non. J'étais étonné que des chercheurs en sécurité dévoilent une faille de sécurité avant même que le moindre patch de sécurité ait pu être déployé. Cela aurait pu ruiner leur réputation de sérieux dans le domaine.
Apparemment la date a été choisie en concertation avec l'industrie, une bonne partie des entreprises concernées ayant été alertées en juillet/août (http://www.kb.cert.org/vuls/id/228519) pour des corrections en ces deux derniers jours.
Et vu le nombre de systèmes concernés, impossible d'attendre que patch soit massivement déployé pour pouvoir communiquer dessus, il faudrait attendre des années !
-
Tous les détails n'ont pas été publiés, OK, mais il y a assez de détails dans ce que j'ai lu pour orienter dans la bonne direction des crackers.
Il n'y a qu'un papier de recherche entier qui a été publié mais pas de risque, il est en anglais et ne sera donc pas compris par les crackers pakistanais qui s'apprêtent à envahir nos campagnes pour collecter nos records SSL.
-
Non. J'étais étonné que des chercheurs en sécurité dévoilent une faille de sécurité avant même que le moindre patch de sécurité ait pu être déployé. Cela aurait pu ruiner leur réputation de sérieux dans le domaine.
En sachant que Microsoft avait publié les patchs de sécurité une semaine avant, je comprend mieux qu'ils aient publié leurs découvertes. Mais cela a quand même été rapide, avant que les distributions Linux aient publié les leurs, sans parler des systèmes Android.
Tous les détails n'ont pas été publiés, OK, mais il y a assez de détails dans ce que j'ai lu pour orienter dans la bonne direction des crackers.
Ça suit globalement toujours le même procédé.
La faille est communiquée à qui en a besoin puis ils se mettent d'accord sur un jour de divulgation et release de patch.. (mais déjà à cette étape elle peut se retrouver entre de mauvaises mains.. Et donc être diffusée à de méchants pirates)
Le problème c'est que si sur Linux tu sors les patches trop tôt du reverse engineering peut être fait..
Pour les failles heartbleed ou shellshock (là c'était surtout côté serveur) la publication des patches a été faite le jour même de la divulgation pour toutes les distributions.
Donc généralement quelques heures avant la divulgation de la faille tu peux mettre à jour ton serveur/pc.
Si tu dois attendre que tout le monde ait patché tu n'as pas fini d'attendre.. Google par exemple laisse 90 jours. Au 91 ème la faille est publiée patch ou pas.
Ça a été le cas pour une faille identifiée le 25 novembre 2016. Divulgation le 23 février 2017. Microsoft a sorti le patch en mars..
Source https://www.generation-nt.com/microsoft-edge-ie-vulnerabilite-0day-google-actualite-1939860.html
-
Pour Dirty COW (CVE-2016-5195) - Plus importante faille Linux jamais découverte (https://lafibre.info/attaques/alerte-plus-importante-faille-linux-jamais-decouverte/) les correctifs sont pas arrivés en même temps....
Ubuntu a poussé le 19 octobre des correctifs pour toutes les versions supportées.
Pour RHEL, voici le statut le 24 octobre :
Effectivement... c'est toujours en pending.
On sait pourquoi l'info a fuitée ?
Normalement une faille n'est pas détaillée avant que la majorité des clients ait patché la chose...
(https://lafibre.info/testdebit/ubuntu/201610_CVE20165195_Kernel_Local_Privilege_Escalation.png)
-
Il n'y a qu'un papier de recherche entier qui a été publié mais pas de risque, il est en anglais et ne sera donc pas compris par les crackers pakistanais qui s'apprêtent à envahir nos campagnes pour collecter nos records SSL.
...Tu sembles oublier que le Pakistan, alors partie de l'Empire des Indes Britanniques, parle aussi bien l'anglais que l'urdu ou le pushdu !!! (https://lafibre.info/images/smileys/@GregLand/el.gif)
-
Ah mince, il va falloir surveiller le cours du Bitcoin pour être sûr qu'ils ne soient pas trop nombreux à pouvoir prendre l'avion alors.
-
Je me permet remonter ce sujet, car j'ai plusieurs interrogations. Les articles qui parlent du problème ne sont pas toujours clairs, et parfois incohérents entre eux.
Donc quelques questions :
* il se dit que c'est le WPA2 lui même qui est en cause. Dans ce cas, c'est bien un update du protocole qui est nécessaire? Donc le standard va (a déjà) évoluer?
* Sur le site https://www.krackattacks.com/ il est dit qu'il faut une mise à jour côté client et côté point d'accès pour être vraiment protégé. D'autres sites disent qu'une mise à jour des seuls clients suffisent. Qui dit vrai?
* Ca dit que seuls les points d'accès qui embarquent du "Fast BSS Transition handshake (802.11r)" sont impactés. Mais comment savoir si son point d'accès, et sa Box-routeur le fait?
* A-t-on une vision des dates de déploiement des patches par les FAI français vers les Box des clients? Est-ce que toutes les box (même les anciennes) seront patchées?
Leon.
-
Je répond pour Bouygues Telecom : les Bbox, mêmes anciennes, mêmes si elles ne reçoivent plus de mise à jour apportant des évolutions, sont toujours maintenues pour tout ce qui concerne la sécurité. Il y a donc régulièrement des firmwares mineurs, apportant des évolutions de sécurité.
Les firmwares sont poussés par le réseau, la nuit. Pour les box qui sont éteintes la nuit, la mise à jour est réalisée peu de temps après la mise sous tension.
-
Bonjour,
j'avais lu un article posté par Cisco dessus.
En fait apparemment, il n'y a pas 1 faille, mais plutôt une dizaine qui ont été publiées en même temps.
9 sont à corriger sur le client et 1 sur les APs Wifi.
Celle sur les AP Wifi est :
Le 802.11r qui permet de basculer rapidement d'un réseau à l'autre (de ce que j'ai compris, ce n'est utile que quand tu as plusieurs APs sur le même réseau). Apparement, les FAIs français ont indiqué ne pas être concernés. Bon après quand tu as 1 box avec 1 wifi, j'avoue que je ne vois pas à quoi le 802.11r pourrait servir.
http://www.zdnet.fr/actualites/faille-krack-wpa2-les-box-des-fai-francais-epargnees-39858866.htm
https://blogs.cisco.com/security/wpa-vulns
https://meraki.cisco.com/blog/2017/10/critical-802-11r-vulnerability-disclosed-for-wireless-networks/
-
Effectivement, le 'r' est pour roaming (passage d'une borne à une autre), ce qui n'est pas la configuration des FAIs. Il y a quand même sous linux (et donc Androiid) une faille de sécurité wpa_supplicant qui facilite l'attaque, qui a été corrigée sous linux, mais pas semble-il sous ma freebox v6 (pas de nouvelle mise à jour),.
D'après Maxime Bizon, sur le bugtracker freebox :
Nous mettrons toutefois évidemment à jour les versions de wpa_supplicant
https://dev.freebox.fr/bugs/task/21854
Il reste donc à corriger les clients, et pour mon Samsung Galaxy S5 Neo, Android 6.0.1, j'attends toujours, alors que windows et Linux ont déjà été patchés...
La dernière mise à jour sur mon smartphone date du 5/05/2017 (niveau correctif 1/03/2017). Le modèle est sorti en Septembre 2015, et je l'ai acheté en Janvier 2016, il y a moins de deux ans...
-
Si je ne me trompe pas, WPA3, le nouveau protocole sécurisé devrait voir le jour cette année ? Ça devrait régler le problème définitivement. En attendant par contre... ça rappelle les joies du WEP hih ;D
-
Le WAP 3 nécessite un nouveau hardware, non ?
Si oui, il faudra 10 ans pour ne plus voir de WAP 2 (renouveller toutes les box des opérateurs et tous les PC)
-
WPA3 pourrait être remplacé par WPA3.1
Deux chercheurs en sécurité, Eyal Ronen et Mathy Vanhoef, on dévoilés en avril 2019 cinq vulnérabilités sur le protocole WPA3. Deux d’entre elles permettaient une attaque par downgrade, deux autres par handshake et la dernière enfin par déni de service (DDoS).
En Juillet 2019, les mêmes chercheurs trouvent deux nouvelles failles, issues des recommandations du consortium Wi-Fi Alliance aux équipementiers afin de mitiger les attaques dévoilées en avril 2019.
La première faille, CVE-2019-13377, découle de l’utilisation des courbes cryptographiques Brainpool au lieu de courbes elliptiques P-521 — les chercheurs ont découverts qu’une attaque par force brute (dictionnaire) après une complexe opération permettait de découvrir le mot de passe du réseau.
La seconde faille, CVE-2019-13456, concerne l’implèmentation du protocole EAP-pwd dans le framework Free-RADIUS utilisé par de nombreux fabricants pour offrir la connectivité Wi-Fi. Ce système d’authentification de type legacy n’est présent au sein du protocole WP3 que pour des raisons pratiques, ayant été auparavant intégré sur WPA et WPA2. Les chercheurs ont découverts des fuites d’informations dans l’authentification qui permettaient de trouver le mot de passe.
"La norme WiFi est maintenant mise à jour avec des défenses adéquates, ce qui pourrait conduire à WPA3.1. Bien que cette mise à jour ne soit pas rétrocompatible avec les déploiements actuels de WPA3, elle empêche la plupart des attaques que nous avons découvertes", a déclaré Vanhoef.
Je trouve ça étonnant, mais Ubuntu propose une mise à jour pour mitiger CVE-2019-13377 sans faire la moindre référence à WPA 3 :
(https://lafibre.info/testdebit/ubuntu/201908_ubuntu_maj_wap2.png)