Auteur Sujet: Failles de sécurité WPA2 KRACK et WPA3 Dragonblood (Lu 4007 fois)

Kellogs · « **le:** 31 juillet 2020 à 15:17:13 »

Bonjour à tous,

Le protocope WPA2 est rendu obsolète par les failles de sécurité Krack : https://www.krackattacks.com/

Le nouveau propocole WPA3 souffre de défauts de conception, failles de désucirté Dragonblood : https://wpa3.mathyvanhoef.com/
En particulier, dans son mode de compatibilité WPA2, le WPA3 peut être attaqué en utilisant un client WPA2.
En WPA3, il faut désactiver les fonction Roaming entre APs, impossible à sécuriser.

Le chercheur à l'origine de ces découvertes recommande d'utiliser systématiquement un VPN par dessus WPA2/WPA3 (ce qui est d'ailleurs une très ancienne recommandation).
L'autre solution est de toujours se connecter en https et de vérifier que le site n'a pas été downgradé en http dans une attaque man-in-the-middle, donc d'avoir toujours un oeil sur le cadenas de la connexion dans le navigateur, ce qui s'avère à mon avis, dans la pratique, impossible. Donc VPN pour tous !

Le chercheur fournit tous les scripts d'attaque pour vérifier son infrastructure, donc c'est certain que toutes ces attaques vont être automatisées et peuvent être lancées à proximité du serveur WIFI, par n'importe qui, y compris avec des compétences informatiques limitées.

Bonne réflexion à tous !
N'hésitez pas à faire part de vos solutions en réponse à ce message.

buddy · « **Réponse #1 le:** 31 juillet 2020 à 21:55:43 »

Citation de: Kellogs le 31 juillet 2020 à 15:17:13

L'autre solution est de toujours se connecter en https et de vérifier que le site n'a pas été downgradé en http dans une attaque man-in-the-middle, donc d'avoir toujours un oeil sur le cadenas de la connexion dans le navigateur, ce qui s'avère à mon avis, dans la pratique, impossible. Donc VPN pour tous !

Le https est quand même de plus en plus déployé (et les navigateurs avec uniquement TLS 1.2 - où ce sera le cas d'ici quelques semaines) et sur les sites sensibles avec du HSTS. Donc les sécurités sont là. Après il faut qu'elles soient activés de tous les côtés.

Après, le mieux reste bien sur la connexion filaire comme toujours mais bon, je pense qu'il ne faut pas non plus psychoter sur les failles du wifi (pour des particuliers). D'ailleurs, la faille n'est pas nouvelle..

Kellogs · « **Réponse #2 le:** 31 juillet 2020 à 22:01:55 »

Les failles permettent de faire du man-in-the-middle. L'attaque a lieu principalement sur les clients, ce qui signifie qu'il suffit de présenter à une AP à jour WPA3 un client WPA2 beuggué et ancien, ce que sait faire un hacker et le tour est joué.

D'accord pour https, mais il faut que le site https auquel on se connecte soit configuré pour ne pas permettre la rétrogradation en http. Dans les faits de nombreux sites sont mal configurés en https. Il faut donc toujours avoir l'oeil sur le cadenas de l'URL, ce qui nécessite une certaine habitude.

Par exemple, j'ai vérifié sur l'adresse de lafibre.info, dont le statut de protection contre une rétrogradation est inconnu :
https://ssllabs.com/https://www.ssllabs.com/ssltest/analyze.html?d=lafibre.info&s=46.227.16.8ssltest/analyze.html?d=lafibre.info&s=46.227.16.8

Citer

Downgrade attack prevention Unknown (requires support for at least two protocols, excl. SSL2)

Par comparaison, BNP Paribas est protégé :
https://www.ssllabs.com/ssltest/analyze.html?d=mabanque.bnpparibas

Citer

Downgrade attack prevention Yes, TLS_FALLBACK_SCSV supported (more info)

Et puis, il y a tout simplement le danger de la pénétration du réseau local par attaque en force brute.
Cela fait quand même beaucoup.
Dans les faits, WPA2 et WPA3 sont morts.

Il faut impérativement monter un VPN sur chaque connexion WIFI.
Cela peut se faire un standard avec n'importe quel bon routeur de type OpenWRT, OPNSense ou même un Freebox.

Ceci dit, la WI-FI alliance a bien compris qu'ils avaient totalement merdé et ils travaillent à WPA 3.1
Les fabricants se frottent les mains, car bon nombre d'entre eux ne vont jamais mettre à jour leurs produits, direction déchetterie.
Ils font tous l'autruche ... suffit de lire les descriptifs des produits présentés comme "sécurisés".

Dans les faits, si votre matériel ou votre box est toujours sous WPA2 : on vous prend pour un con.
Votre matériel ou votre box est en WPA3 : on a compris que c'était grave en attendant WPA 3.1.

buddy · « **Réponse #3 le:** 31 juillet 2020 à 22:37:12 »

Citation de: Kellogs le 31 juillet 2020 à 22:01:55

Par exemple, j'ai vérifié sur l'adresse de lafibre.info, dont le statut de protection contre une rétrogradation est inconnu :
https://www.ssllabs.com/ssltest/analyze.html?d=lafibre.info&s=46.227.16.8ssltest/analyze.html?d=lafibre.info&s=46.227.16.8

Downgrade attack prevention Unknown (requires support for at least two protocols, excl. SSL2) -> La fibre.info ne propose que tu TLS 1.2

Normalement en mars dernier et au S1 2020, les principaux navigateurs auraient du supprimer le support de TLS 1.0 et 1.1 (décalé pour cause de Covid, sites nformatifs/gouvernementaux toujours sous TLS1.0 ou 1.1 au mieux)
Normalement, à ce jour, (ou dans les semaines qui viennent) les navigateurs ne doivent permettre que TLS 1.2 et 1.3 ce qui limiterait les risques d'utiliser de vieux protocoles et les downgrades.
https://www.zdnet.com/article/mozilla-halts-firefox-78-rollout-and-then-restarts-it-after-fixing-this-search-engine-bug/
https://web.developpez.com/actu/307195/Google-Chrome-84-est-disponible-supprime-le-support-de-TLS-1-0-et-TLS-1-1-prend-en-charge-l-API-Web-OTP-et-met-en-garde-visuellement-contre-les-telechargements-a-contenu-mixte/
https://www.chromestatus.com/feature/5759116003770368

Il faudrait aussi faire pression/imposer aux sites avec des informations sensibles (Améli, banques, sites impots/france connect/ autre) d'être en HTTPS avec HSTS obligatoire..

Après, avis perso, il y aura toujours des failles sur les protocoles sans fil.

Citation de: Kellogs le 31 juillet 2020 à 22:01:55

Il faut impérativement monter un VPN sur chaque connexion WIFI.
Cela peut se faire un standard avec n'importe quel bon routeur de type OpenWRT, OPNSense ou même un Freebox.

La majorité des français et du monde entier sont très loin d'être équipés de ce genre de routeurs/avec des VPNs monté automatiquement.

Kellogs · « **Réponse #4 le:** 31 juillet 2020 à 22:47:21 »

Le chercheur ayant découvert les failles a bien précisé que le nouveau protocole WPA devrait être développé de manière ouverte, avec un large réflexion dans la communauté de chercheurs en sécurité, sinon c'est peine perdue.

Il y a également une réflexion à mener sur la pertinence à utiliser les systèmes propriétaires livrés avec les APs de principaux fournisseurs. Personnellement, je suis ravi du choix du logiciel libre OpenWRT qui iny-gre WPA 3.0 me garantit un upgrade possible vers WPA3.1. En attendant, je monterai un VPN soit en utilisant mon AP soit en utilisant la Freebox.

Dans OpenWRT, il y a un réglage très clair "802.11r Fast Transition Enables fast roaming among access points that belong to the same Mobility Domain", qui est une options désactivée par défaut parce qu'il s'agit d'une faille de WPA2. Je ne suis pas certain que les APs propriétaires vont dans le détail, surtout quand je vois le marché que constitue les APs "maillées" et le roaming et l'extension de couverture. En fait, beaucoup de constructeurs sacrifient la sécurité aux impératifs commerciaux.

Donc pour résumer, toute approche propriétaire est à proscrire. Tous ceux qui ont acheté de l'Ubiquiti, du TP-Link ou même du Cisco ou une quelconque marque propriétaitre ont le choix entre mettre leurs produits à la déchetterie ou monter un VPN. Dans les faits, il y aura très peu de mise à jour du parc d'APs vers WPA 3.1. Donc c'est mort et vive le VPN pour ceux ayant la compétence ou le fric pour investir dans un serveur VPN ou sont client de Free (la Freebox a un serveur IPsec intégré).

Marco POLO · « **Réponse #5 le:** 31 juillet 2020 à 22:53:19 »

Citation de: buddy le 31 juillet 2020 à 22:37:12

...Il faudrait aussi faire pression/imposer aux sites avec des informations sensibles (Améli, banques, sites impots/france connect/ autre) d'être en HTTPS avec HSTS obligatoire...

Ainsi qu'à l'AP-HP.

Kellogs · « **Réponse #6 le:** 31 juillet 2020 à 23:05:26 »

On discute, mais il suffit de charger Kali LInux avec les scripts d'attaque de WPA2 et WPA3, fournis dans les liens plus haut, pour vérifier qu'il y a bien un problème. Aucun système n'est protégé. Actuellement, il faut encore charger les scripts à la main. Mais ces scripts seront tôt ou tard intégrés à des frameworks d'attaque automatique, largement utilisables par de non-initiés. Non, c'est mort. On a le choix entre la déchetterie et le VPN en attendant mieux.

J'ai commandé un GL.iNet GL-B1300, une AP puissante, architecture ARM32, quatre coeurs sous OpenWRT et je migre d'Orange vers Free. Comme cela j'aurai le choix du VPN.

Orange me prend pour un c** en maintenant WPA2.
Action => Réaction. Goodbye Orange.

zoc · « **Réponse #7 le:** 01 août 2020 à 07:30:59 »

Orange fait tout ce qu'un opérateur sensé ferait: Maintenir un système, qui, s'il est supprimé, résultera en des centaines/milliers d'appels au support de clients qui n'ont aucun équipement supportant WPA3 et qui ne le supporteront sans doute jamais, et qui en plus n'y comprennent rien (d'ailleurs ils se connectent aux Wifi ouverts à MacDo sans se poser de questions)...

De toute façon, la façon la plus simple de pénétrer des réseaux Wifi (surtout ceux des particuliers, mais pas que, je ne donnerai pas le mot de passe du wifi invité de mon entreprise mais c'est une vaste blague en terme de sécurité, d'autant plus qu'il n'est quasiment jamais changé), ça ne sera jamais l'exploitation des failles des protocoles, mais le social engineering.

A ma connaissance (je n'ai plus de Freebox depuis 5 ou 6 ans, ça a peut -être changé), les solutions VPN disponibles dans la Freebox ne sont exploitables que sur son port WAN.

Ensuite, mettre en place un VPN, certes, mais du coup pour éviter le man in the middle qui "remplacerait" l'endpoint du VPN, il faut vachement faire gaffe à blinder le tout (avec utilisation de méthodes d'authentification asymétriques aux 2 bouts, ce qui devient vite ingérable quand le nombre d'équipements grossit).

Donc franchement, en évaluant le rapport Risque/Complexité de mise en place et maintenance, pour moi en tant que particulier (et ayant pourtant une formation IT), le VPN pour protéger mon réseau Wifi en WPA2 (bah ouais j'utilise de l'Ubiquiti) c'est de l'enculage de mouche. Si je devais le mettre en place, ce serait plutôt en tant qu'exercice (tout comme mes zones DNS sont protégées par DNSSEC et que je fais du DANE pour mon serveur mail) qu'en tant que besoin.

Free_me · « **Réponse #8 le:** 01 août 2020 à 08:18:48 »

Citation de: Kellogs le 31 juillet 2020 à 22:01:55

Dans les faits, WPA2 et WPA3 sont morts.

a terme, oui probablement. Mais en attendant c'est du wpa2 chez 99% des gens.

Free_me · « **Réponse #9 le:** 01 août 2020 à 08:28:56 »

Citation de: zoc le 01 août 2020 à 07:30:59

A ma connaissance (je n'ai plus de Freebox depuis 5 ou 6 ans, ça a peut -être changé), les solutions VPN disponibles dans la Freebox ne sont exploitables que sur son port WAN.

oui c'est ca. le server peut faire client vpn, donc c'est uniquement pour l'exterieur.

Kellogs · « **Réponse #10 le:** 01 août 2020 à 08:43:28 »

Merci pour l'information du WAN concernant la Freebox.

La quesiton du VPN par dessus le WIFI est une recommandation depuis longtemps. Auparavant, c'était un luxe réservé aux entreprises ayant le souci de la sécurité. Mais avec ces nouvelles failles, c'est devenu une obligation, mais les constructeurs et les opérateurs ne veulent pas nous le dire en face ... parce que 99% des utilisateurs sont incapables de mettre en place un VPN. Les constructeurs et les opérateurs ne veulent pas admettre qu'ils ont merdé. Et beaucoup d'utilisateurs se targent d'avoir acheté les dernières APs propriétaires, avec 3 ou 6 antennes et des débits importants, et ne peuvent pas admettre qu'on peut tout mettre à la poubelle.

La preuve que WPA2 est bien mort, c'est que WPA3 a été conçu en urgence pour succéder à WPA2 et que lorsque la faille Dragonblood est apparue, dans les quelques jours, tous les grands systèmes d'exploitation étaient patchés. Mais cela ne sert à rien vu qu'on peut utiliser un ancien client WPA2 pour l'attaque. Donc WPA3 est aussi mort-né.

Pour le mail, j'utilise des DKIM et pour le DNS DNSSEC. A chaque problème sa solution technique.

Dans le cas des nouvelles failles WPA2 et WPA3, les seules solutions sont soit de repasser en filaire soit de mettre en place un VPN.

Je reçois ma nouvelle AP ce soir. Dans les prochains jours, je posterai ma configuraiton VPN sous OpenWRT. Je pense que c'est l'affaire de quelques heures de paramétrage.

Free_me · « **Réponse #11 le:** 01 août 2020 à 08:50:32 »

Citation de: Kellogs le 01 août 2020 à 08:43:28

La preuve que WPA2 est bien mort,

ouais ouais

comme ipv4

prediction : encore 10 ans avec une majorité d'utilisateurs en wpa2