Auteur Sujet: Failles de sécurité WPA2 KRACK et WPA3 Dragonblood (Lu 4011 fois)

Kellogs · « **Réponse #12 le:** 01 août 2020 à 08:55:58 »

C'est bien le problème. La majorité des APs de seront jamais mises à jour en WPA3 et encore moins en WPA3.1 lorsqu'il sortira. Donc qu'est-ce que je fais lorsque mon AP est bloquée en WPA2 ? Je reste sur le cul à ne rien faire en attendant de me faire hacker ou je mets en place un VPN ?

Nico_S · « **Réponse #13 le:** 01 août 2020 à 08:57:17 »

Citation de: Kellogs le 01 août 2020 à 08:43:28

Merci pour l'information du WAN concernant la Freebox.

La quesiton du VPN par dessus le WIFI est une recommandation depuis longtemps. Auparavant, c'était un luxe réservé aux entreprises ayant le souci de la sécurité. Mais avec ces nouvelles failles, c'est devenu une obligation, mais les constructeurs et les opérateurs ne veulent pas nous le dire en face ... parce que 99% des utilisateurs sont incapables de mettre en place un VPN. Les constructeurs et les opérateurs ne veulent pas admettre qu'ils ont merdé. Et beaucoup d'utilisateurs se targent d'avoir acheté les dernières APs propriétaires, avec 3 ou 6 antennes et des débits importants, et ne peuvent pas admettre qu'on peut tout mettre à la poubelle.

La preuve que WPA2 est bien mort, c'est que WPA3 a été conçu en urgence pour succéder à WPA2 et que lorsque la faille Dragonblood est apparue, dans les quelques jours, tous les grands systèmes d'exploitation étaient patchés. Mais cela ne sert à rien vu qu'on peut utiliser un ancien client pour l'attaque. Donc WPA3 est aussi mort-né.

Pour le mail, j'utilise des DKIM et pour le DNS DNSSEC. A chaque problème sa solution technique.

Dans le cas des nouvelles failles WPA2 et WPA3, les seules solutions sont soit de repasser en filaire soit de mettre en place un VPN.

Je reçois ma nouvelle AP ce soir. Dans les prochains jours, je posterai ma configuraiton VPN sous OpenWRT. Je pense que c'est l'affaire de quelques heures de paramétrage.

Sinon pour protéger son réseau wifi domestique (marche aussi à l'entreprise), on peut tout simplement monter une cage de Faraday autour de sa maison, son appartement, son terrain si on veux une portée plus grande

Ainsi protection optimale des attaques extérieures liées aux failles de sécurité des normes de cryptage wifi actuelles. Restera l'interface chaise-clavier qui reste de loin la pire des failles de sécurité.

Kellogs · « **Réponse #14 le:** 01 août 2020 à 09:00:17 »

La cage de Faraday ne protège de rien du tout et c'est réservé aux gouvernements.

DNS => DNSSEC
MAIL => DKIM
WIFI => VPN

C'est aussi simple que cela. Maintenant quand on n'a pas la compétence en VPN, je comprends que cela soit difficile de comprendre que le WIFI n'est plus du tout sécurisé et qu'on peut tout mettre à la poubelle. Ceux qui ont installé de l'OpenWRT, du pfSense ou de l'OPNSense ont gagné, les autres peuvent aller se faire cuire un oeuf en attendant une hypothétique mise à jour en WPA 3.1. Très dur à avaler.

Nico_S · « **Réponse #15 le:** 01 août 2020 à 09:24:41 »

Citation de: Kellogs le 01 août 2020 à 09:00:17

Maintenant quand on n'a pas la compétence en VPN, je comprends que cela soit difficile de comprendre que le WIFI n'est plus du tout sécurisé et qu'on peut tout mettre à la poubelle.

Encore faudrait-il que le WiFi ait été sécurisé un jour. Quand le WPA 3.1 sortira ce sera déjà trop tard et obsolète, les mises à jour étant simplement là pour colmater les failles de sécurité déjà existantes et exploitées.
Après, la question est surtout : quel est le risque que Mme Michu se fasse pirater son Wifi maison ? Comme ça a été dit plus haut, les gens se connectes depuis 20 ans sur le wifi des fast-foods et hôtels sans VPN, et il est nettement plus simple pour un pirate de "s'infiltrer" sur ces réseaux plutôt que de squatter devant une maison ou un appartement sans se faire remarquer pour faire la même chose.
Enfin je peux me tromper, je ne suis pas du métier.

Citation de: Kellogs le 01 août 2020 à 09:00:17

La cage de Faraday ne protège de rien du tout et c'est réservé aux gouvernements.

Faut savoir ! Ça veut dire que les gouvernements l'utilise en sachant que ça ne protège de rien du tout ? Tu tiens peut-être une info capitale là, non ?

buddy · « **Réponse #16 le:** 01 août 2020 à 10:32:34 »

Citation de: Kellogs le 01 août 2020 à 08:43:28

Auparavant, c'était un luxe réservé aux entreprises ayant le souci de la sécurité.

Les entreprises un minimum "sensibles" avec des infos vraiment confidentielles, ça fait un moment que le WIFI est coupé ou limité aux invités / limités aux salles de réunions avec un accès ultra limité au réseau.

Perso, si je suis en salle de réunion, j'ai accès à une liste blanche d'internet et pour le reste, je dois lancer le VPN si je veux accéder au serveur de fichiers, imprimantes, ...

Après toutes les sécurités Wifi se font trouées un jour où l'autre c'est arrivé avec tous les protocoles et çà arrivera aussi avec le WPA 3.1, 3.x, WPA 4 et etc ...

Kellogs · « **Réponse #17 le:** 01 août 2020 à 11:47:02 »

Donc pour résumer, vous affirmez que le WIFI est troué, foutu et que c'est une raison pour ne rien faire. Ce n'est pas ma façon de rasionner. Je me fiche de ce que fait le pékin moyen dans un fast-food et de la manière dont il se protège. Je pense à ma pomme avant tout.

Faites donc le deuil du WIFI tel qu'on le pratique actuellement. Je pense que vous êtes tous beaucoup trop attachés à vos produits dont on a tant vanté les qualités marketing et qui au final sont bien pourris.

Quand j'aurai un serveur VPN Ipsec, je ferai passer toutes les connexions sans fil par le VPN, y compris les mobiles en roaming 4G. C'est une approche bien plus saine.

buddy · « **Réponse #18 le:** 01 août 2020 à 11:58:30 »

moi ce que je ne comprends pas c'est pourquoi ça te tient à cœur depuis hier ou avant hier ...
ça fait des années que c'est comme çà... les failles que tu cites dans ce topic datent de plusieurs mois/années ...

et je trouve que depuis peu, les acteurs ont compris qu'il ne fallait plus faire confiance aux gens, mais "forcer" les sécurités
-> inciter le HTTPS partout
-> désactiver les vieux protocoles de sécurité des navigateurs (sans demander l'avis des utilisateurs)
...

zoc · « **Réponse #19 le:** 01 août 2020 à 12:40:09 »

On ne dit pas qu’il ne faut rien faire, on dit que le risque de tomber sur son voisin Kevin qui lance un script qu’il ne comprend pas et arrive à exploiter les failles de ton wifi pour en faire quelque chose est aussi grand que ce même voisin vienne fracturer ta porte en pleine journée. D'ailleurs j'espère que tu as une porte d'entrée multipoints blindée.

Donc sauf pour les personnes « sensibles » (activistes, etc...) dans des pays « sensibles », le risque est ridicule...

Kellogs · « **Réponse #20 le:** 01 août 2020 à 14:21:40 »

Les précédentes compromissions de WPA étaient partielles et ont été patchés. Désormais, c'est plus grave, le WPA2/3 estt fini, c'est la différence.

Citer

et je trouve que depuis peu, les acteurs ont compris qu'il ne fallait plus faire confiance aux gens, mais "forcer" les sécurités

Les deux approches sont compatibles. Dans un autre post, il y a des copies d'écran du serveur IPsec de la Freebox. Cela ne mange pas de pain de l'activier et de se connecter en IPSec. Alternativement, ma configuration IPsec va reposer sur un routeur GL.iNet GL-B1300, une AP sous OpenWRT / quadricoeur ARM / 256 G de RAM / 32 MB de flash à 80€. Ce n'est pas cher de se protéger et de mettre en place un VPN au dessus de WPA3. Donc autant le faire.

Pour le reste, c'est la politique de l'autruche : WIFI alliance, constructeurs et FAI (sauf Free). Ils nous prennent tous pour des demeurés. Vous pouvez écouter leur douce musique et ne rien faire. C'est effectivement comme avoir une porte d'entrée grande ouverte. Il y a des gens qui adorent garder leur porte toujours ouverte. C'est un choix comme un autre. Cela m'est déjà arrivé d'oublier de fermer ma maison de campagne à clé, la semaine suivante, rien n'avait bougé et tout était en ordre.