La Fibre
Datacenter et équipements réseaux => Équipements réseaux => 
WiFi => Discussion démarrée par: Kellogs le 31 juillet 2020 à 15:17:13
-
Bonjour à tous,
Le protocope WPA2 est rendu obsolète par les failles de sécurité Krack : https://www.krackattacks.com/
Le nouveau propocole WPA3 souffre de défauts de conception, failles de désucirté Dragonblood : https://wpa3.mathyvanhoef.com/
En particulier, dans son mode de compatibilité WPA2, le WPA3 peut être attaqué en utilisant un client WPA2.
En WPA3, il faut désactiver les fonction Roaming entre APs, impossible à sécuriser.
Le chercheur à l'origine de ces découvertes recommande d'utiliser systématiquement un VPN par dessus WPA2/WPA3 (ce qui est d'ailleurs une très ancienne recommandation).
L'autre solution est de toujours se connecter en https et de vérifier que le site n'a pas été downgradé en http dans une attaque man-in-the-middle, donc d'avoir toujours un oeil sur le cadenas de la connexion dans le navigateur, ce qui s'avère à mon avis, dans la pratique, impossible. Donc VPN pour tous !
Le chercheur fournit tous les scripts d'attaque pour vérifier son infrastructure, donc c'est certain que toutes ces attaques vont être automatisées et peuvent être lancées à proximité du serveur WIFI, par n'importe qui, y compris avec des compétences informatiques limitées.
Bonne réflexion à tous !
N'hésitez pas à faire part de vos solutions en réponse à ce message.
-
L'autre solution est de toujours se connecter en https et de vérifier que le site n'a pas été downgradé en http dans une attaque man-in-the-middle, donc d'avoir toujours un oeil sur le cadenas de la connexion dans le navigateur, ce qui s'avère à mon avis, dans la pratique, impossible. Donc VPN pour tous !
Le https est quand même de plus en plus déployé (et les navigateurs avec uniquement TLS 1.2 - où ce sera le cas d'ici quelques semaines) et sur les sites sensibles avec du HSTS. Donc les sécurités sont là. Après il faut qu'elles soient activés de tous les côtés.
Après, le mieux reste bien sur la connexion filaire comme toujours mais bon, je pense qu'il ne faut pas non plus psychoter sur les failles du wifi (pour des particuliers). D'ailleurs, la faille n'est pas nouvelle..
-
Les failles permettent de faire du man-in-the-middle. L'attaque a lieu principalement sur les clients, ce qui signifie qu'il suffit de présenter à une AP à jour WPA3 un client WPA2 beuggué et ancien, ce que sait faire un hacker et le tour est joué.
D'accord pour https, mais il faut que le site https auquel on se connecte soit configuré pour ne pas permettre la rétrogradation en http. Dans les faits de nombreux sites sont mal configurés en https. Il faut donc toujours avoir l'oeil sur le cadenas de l'URL, ce qui nécessite une certaine habitude.
Par exemple, j'ai vérifié sur l'adresse de lafibre.info, dont le statut de protection contre une rétrogradation est inconnu :
https://ssllabs.com/https://www.ssllabs.com/ssltest/analyze.html?d=lafibre.info&s=46.227.16.8ssltest/analyze.html?d=lafibre.info&s=46.227.16.8
Downgrade attack prevention Unknown (requires support for at least two protocols, excl. SSL2)
Par comparaison, BNP Paribas est protégé :
https://www.ssllabs.com/ssltest/analyze.html?d=mabanque.bnpparibas
Downgrade attack prevention Yes, TLS_FALLBACK_SCSV supported (more info)
Et puis, il y a tout simplement le danger de la pénétration du réseau local par attaque en force brute.
Cela fait quand même beaucoup.
Dans les faits, WPA2 et WPA3 sont morts.
Il faut impérativement monter un VPN sur chaque connexion WIFI.
Cela peut se faire un standard avec n'importe quel bon routeur de type OpenWRT, OPNSense ou même un Freebox.
Ceci dit, la WI-FI alliance a bien compris qu'ils avaient totalement merdé et ils travaillent à WPA 3.1
Les fabricants se frottent les mains, car bon nombre d'entre eux ne vont jamais mettre à jour leurs produits, direction déchetterie.
Ils font tous l'autruche ... suffit de lire les descriptifs des produits présentés comme "sécurisés".
Dans les faits, si votre matériel ou votre box est toujours sous WPA2 : on vous prend pour un con.
Votre matériel ou votre box est en WPA3 : on a compris que c'était grave en attendant WPA 3.1.
-
Par exemple, j'ai vérifié sur l'adresse de lafibre.info, dont le statut de protection contre une rétrogradation est inconnu :
https://www.ssllabs.com/ssltest/analyze.html?d=lafibre.info&s=46.227.16.8ssltest/analyze.html?d=lafibre.info&s=46.227.16.8
Downgrade attack prevention Unknown (requires support for at least two protocols, excl. SSL2) -> La fibre.info ne propose que tu TLS 1.2
Normalement en mars dernier et au S1 2020, les principaux navigateurs auraient du supprimer le support de TLS 1.0 et 1.1 (décalé pour cause de Covid, sites nformatifs/gouvernementaux toujours sous TLS1.0 ou 1.1 au mieux)
Normalement, à ce jour, (ou dans les semaines qui viennent) les navigateurs ne doivent permettre que TLS 1.2 et 1.3 ce qui limiterait les risques d'utiliser de vieux protocoles et les downgrades.
https://www.zdnet.com/article/mozilla-halts-firefox-78-rollout-and-then-restarts-it-after-fixing-this-search-engine-bug/
https://web.developpez.com/actu/307195/Google-Chrome-84-est-disponible-supprime-le-support-de-TLS-1-0-et-TLS-1-1-prend-en-charge-l-API-Web-OTP-et-met-en-garde-visuellement-contre-les-telechargements-a-contenu-mixte/
https://www.chromestatus.com/feature/5759116003770368
Il faudrait aussi faire pression/imposer aux sites avec des informations sensibles (Améli, banques, sites impots/france connect/ autre) d'être en HTTPS avec HSTS obligatoire..
Après, avis perso, il y aura toujours des failles sur les protocoles sans fil.
Il faut impérativement monter un VPN sur chaque connexion WIFI.
Cela peut se faire un standard avec n'importe quel bon routeur de type OpenWRT, OPNSense ou même un Freebox.
La majorité des français et du monde entier sont très loin d'être équipés de ce genre de routeurs/avec des VPNs monté automatiquement.
-
Le chercheur ayant découvert les failles a bien précisé que le nouveau protocole WPA devrait être développé de manière ouverte, avec un large réflexion dans la communauté de chercheurs en sécurité, sinon c'est peine perdue.
Il y a également une réflexion à mener sur la pertinence à utiliser les systèmes propriétaires livrés avec les APs de principaux fournisseurs. Personnellement, je suis ravi du choix du logiciel libre OpenWRT qui iny-gre WPA 3.0 me garantit un upgrade possible vers WPA3.1. En attendant, je monterai un VPN soit en utilisant mon AP soit en utilisant la Freebox.
Dans OpenWRT, il y a un réglage très clair "802.11r Fast Transition Enables fast roaming among access points that belong to the same Mobility Domain", qui est une options désactivée par défaut parce qu'il s'agit d'une faille de WPA2. Je ne suis pas certain que les APs propriétaires vont dans le détail, surtout quand je vois le marché que constitue les APs "maillées" et le roaming et l'extension de couverture. En fait, beaucoup de constructeurs sacrifient la sécurité aux impératifs commerciaux.
Donc pour résumer, toute approche propriétaire est à proscrire. Tous ceux qui ont acheté de l'Ubiquiti, du TP-Link ou même du Cisco ou une quelconque marque propriétaitre ont le choix entre mettre leurs produits à la déchetterie ou monter un VPN. Dans les faits, il y aura très peu de mise à jour du parc d'APs vers WPA 3.1. Donc c'est mort et vive le VPN pour ceux ayant la compétence ou le fric pour investir dans un serveur VPN ou sont client de Free (la Freebox a un serveur IPsec intégré).
-
...Il faudrait aussi faire pression/imposer aux sites avec des informations sensibles (Améli, banques, sites impots/france connect/ autre) d'être en HTTPS avec HSTS obligatoire...
Ainsi qu'à l'AP-HP. (https://lafibre.info/images/smileys/@GregLand/el.gif)
-
On discute, mais il suffit de charger Kali LInux avec les scripts d'attaque de WPA2 et WPA3, fournis dans les liens plus haut, pour vérifier qu'il y a bien un problème. Aucun système n'est protégé. Actuellement, il faut encore charger les scripts à la main. Mais ces scripts seront tôt ou tard intégrés à des frameworks d'attaque automatique, largement utilisables par de non-initiés. Non, c'est mort. On a le choix entre la déchetterie et le VPN en attendant mieux.
J'ai commandé un GL.iNet GL-B1300, une AP puissante, architecture ARM32, quatre coeurs sous OpenWRT et je migre d'Orange vers Free. Comme cela j'aurai le choix du VPN.
Orange me prend pour un c** en maintenant WPA2.
Action => Réaction. Goodbye Orange.
-
Orange fait tout ce qu'un opérateur sensé ferait: Maintenir un système, qui, s'il est supprimé, résultera en des centaines/milliers d'appels au support de clients qui n'ont aucun équipement supportant WPA3 et qui ne le supporteront sans doute jamais, et qui en plus n'y comprennent rien (d'ailleurs ils se connectent aux Wifi ouverts à MacDo sans se poser de questions)...
De toute façon, la façon la plus simple de pénétrer des réseaux Wifi (surtout ceux des particuliers, mais pas que, je ne donnerai pas le mot de passe du wifi invité de mon entreprise mais c'est une vaste blague en terme de sécurité, d'autant plus qu'il n'est quasiment jamais changé), ça ne sera jamais l'exploitation des failles des protocoles, mais le social engineering.
A ma connaissance (je n'ai plus de Freebox depuis 5 ou 6 ans, ça a peut -être changé), les solutions VPN disponibles dans la Freebox ne sont exploitables que sur son port WAN.
Ensuite, mettre en place un VPN, certes, mais du coup pour éviter le man in the middle qui "remplacerait" l'endpoint du VPN, il faut vachement faire gaffe à blinder le tout (avec utilisation de méthodes d'authentification asymétriques aux 2 bouts, ce qui devient vite ingérable quand le nombre d'équipements grossit).
Donc franchement, en évaluant le rapport Risque/Complexité de mise en place et maintenance, pour moi en tant que particulier (et ayant pourtant une formation IT), le VPN pour protéger mon réseau Wifi en WPA2 (bah ouais j'utilise de l'Ubiquiti) c'est de l'enculage de mouche. Si je devais le mettre en place, ce serait plutôt en tant qu'exercice (tout comme mes zones DNS sont protégées par DNSSEC et que je fais du DANE pour mon serveur mail) qu'en tant que besoin.
-
Dans les faits, WPA2 et WPA3 sont morts.
a terme, oui probablement. Mais en attendant c'est du wpa2 chez 99% des gens.
-
A ma connaissance (je n'ai plus de Freebox depuis 5 ou 6 ans, ça a peut -être changé), les solutions VPN disponibles dans la Freebox ne sont exploitables que sur son port WAN.
oui c'est ca. le server peut faire client vpn, donc c'est uniquement pour l'exterieur.
-
Merci pour l'information du WAN concernant la Freebox.
La quesiton du VPN par dessus le WIFI est une recommandation depuis longtemps. Auparavant, c'était un luxe réservé aux entreprises ayant le souci de la sécurité. Mais avec ces nouvelles failles, c'est devenu une obligation, mais les constructeurs et les opérateurs ne veulent pas nous le dire en face ... parce que 99% des utilisateurs sont incapables de mettre en place un VPN. Les constructeurs et les opérateurs ne veulent pas admettre qu'ils ont merdé. Et beaucoup d'utilisateurs se targent d'avoir acheté les dernières APs propriétaires, avec 3 ou 6 antennes et des débits importants, et ne peuvent pas admettre qu'on peut tout mettre à la poubelle.
La preuve que WPA2 est bien mort, c'est que WPA3 a été conçu en urgence pour succéder à WPA2 et que lorsque la faille Dragonblood est apparue, dans les quelques jours, tous les grands systèmes d'exploitation étaient patchés. Mais cela ne sert à rien vu qu'on peut utiliser un ancien client WPA2 pour l'attaque. Donc WPA3 est aussi mort-né.
Pour le mail, j'utilise des DKIM et pour le DNS DNSSEC. A chaque problème sa solution technique.
Dans le cas des nouvelles failles WPA2 et WPA3, les seules solutions sont soit de repasser en filaire soit de mettre en place un VPN.
Je reçois ma nouvelle AP ce soir. Dans les prochains jours, je posterai ma configuraiton VPN sous OpenWRT. Je pense que c'est l'affaire de quelques heures de paramétrage.
-
La preuve que WPA2 est bien mort,
ouais ouais :) comme ipv4 :)
prediction : encore 10 ans avec une majorité d'utilisateurs en wpa2 ;)
-
C'est bien le problème. La majorité des APs de seront jamais mises à jour en WPA3 et encore moins en WPA3.1 lorsqu'il sortira. Donc qu'est-ce que je fais lorsque mon AP est bloquée en WPA2 ? Je reste sur le cul à ne rien faire en attendant de me faire hacker ou je mets en place un VPN ?
-
Merci pour l'information du WAN concernant la Freebox.
La quesiton du VPN par dessus le WIFI est une recommandation depuis longtemps. Auparavant, c'était un luxe réservé aux entreprises ayant le souci de la sécurité. Mais avec ces nouvelles failles, c'est devenu une obligation, mais les constructeurs et les opérateurs ne veulent pas nous le dire en face ... parce que 99% des utilisateurs sont incapables de mettre en place un VPN. Les constructeurs et les opérateurs ne veulent pas admettre qu'ils ont merdé. Et beaucoup d'utilisateurs se targent d'avoir acheté les dernières APs propriétaires, avec 3 ou 6 antennes et des débits importants, et ne peuvent pas admettre qu'on peut tout mettre à la poubelle.
La preuve que WPA2 est bien mort, c'est que WPA3 a été conçu en urgence pour succéder à WPA2 et que lorsque la faille Dragonblood est apparue, dans les quelques jours, tous les grands systèmes d'exploitation étaient patchés. Mais cela ne sert à rien vu qu'on peut utiliser un ancien client pour l'attaque. Donc WPA3 est aussi mort-né.
Pour le mail, j'utilise des DKIM et pour le DNS DNSSEC. A chaque problème sa solution technique.
Dans le cas des nouvelles failles WPA2 et WPA3, les seules solutions sont soit de repasser en filaire soit de mettre en place un VPN.
Je reçois ma nouvelle AP ce soir. Dans les prochains jours, je posterai ma configuraiton VPN sous OpenWRT. Je pense que c'est l'affaire de quelques heures de paramétrage.
Sinon pour protéger son réseau wifi domestique (marche aussi à l'entreprise), on peut tout simplement monter une cage de Faraday autour de sa maison, son appartement, son terrain si on veux une portée plus grande ;D
Ainsi protection optimale des attaques extérieures liées aux failles de sécurité des normes de cryptage wifi actuelles. Restera l'interface chaise-clavier qui reste de loin la pire des failles de sécurité.
-
La cage de Faraday ne protège de rien du tout et c'est réservé aux gouvernements.
DNS => DNSSEC
MAIL => DKIM
WIFI => VPN
C'est aussi simple que cela. Maintenant quand on n'a pas la compétence en VPN, je comprends que cela soit difficile de comprendre que le WIFI n'est plus du tout sécurisé et qu'on peut tout mettre à la poubelle. Ceux qui ont installé de l'OpenWRT, du pfSense ou de l'OPNSense ont gagné, les autres peuvent aller se faire cuire un oeuf en attendant une hypothétique mise à jour en WPA 3.1. Très dur à avaler.
-
Maintenant quand on n'a pas la compétence en VPN, je comprends que cela soit difficile de comprendre que le WIFI n'est plus du tout sécurisé et qu'on peut tout mettre à la poubelle.
Encore faudrait-il que le WiFi ait été sécurisé un jour. Quand le WPA 3.1 sortira ce sera déjà trop tard et obsolète, les mises à jour étant simplement là pour colmater les failles de sécurité déjà existantes et exploitées.
Après, la question est surtout : quel est le risque que Mme Michu se fasse pirater son Wifi maison ? Comme ça a été dit plus haut, les gens se connectes depuis 20 ans sur le wifi des fast-foods et hôtels sans VPN, et il est nettement plus simple pour un pirate de "s'infiltrer" sur ces réseaux plutôt que de squatter devant une maison ou un appartement sans se faire remarquer pour faire la même chose.
Enfin je peux me tromper, je ne suis pas du métier.
La cage de Faraday ne protège de rien du tout et c'est réservé aux gouvernements.
Faut savoir ! Ça veut dire que les gouvernements l'utilise en sachant que ça ne protège de rien du tout ? Tu tiens peut-être une info capitale là, non ?
-
Auparavant, c'était un luxe réservé aux entreprises ayant le souci de la sécurité.
Les entreprises un minimum "sensibles" avec des infos vraiment confidentielles, ça fait un moment que le WIFI est coupé ou limité aux invités / limités aux salles de réunions avec un accès ultra limité au réseau.
Perso, si je suis en salle de réunion, j'ai accès à une liste blanche d'internet et pour le reste, je dois lancer le VPN si je veux accéder au serveur de fichiers, imprimantes, ...
Après toutes les sécurités Wifi se font trouées un jour où l'autre c'est arrivé avec tous les protocoles et çà arrivera aussi avec le WPA 3.1, 3.x, WPA 4 et etc ...
-
Donc pour résumer, vous affirmez que le WIFI est troué, foutu et que c'est une raison pour ne rien faire. Ce n'est pas ma façon de rasionner. Je me fiche de ce que fait le pékin moyen dans un fast-food et de la manière dont il se protège. Je pense à ma pomme avant tout.
Faites donc le deuil du WIFI tel qu'on le pratique actuellement. Je pense que vous êtes tous beaucoup trop attachés à vos produits dont on a tant vanté les qualités marketing et qui au final sont bien pourris.
Quand j'aurai un serveur VPN Ipsec, je ferai passer toutes les connexions sans fil par le VPN, y compris les mobiles en roaming 4G. C'est une approche bien plus saine.
-
moi ce que je ne comprends pas c'est pourquoi ça te tient à cœur depuis hier ou avant hier ...
ça fait des années que c'est comme çà... les failles que tu cites dans ce topic datent de plusieurs mois/années ...
et je trouve que depuis peu, les acteurs ont compris qu'il ne fallait plus faire confiance aux gens, mais "forcer" les sécurités
-> inciter le HTTPS partout
-> désactiver les vieux protocoles de sécurité des navigateurs (sans demander l'avis des utilisateurs)
...
-
On ne dit pas qu’il ne faut rien faire, on dit que le risque de tomber sur son voisin Kevin qui lance un script qu’il ne comprend pas et arrive à exploiter les failles de ton wifi pour en faire quelque chose est aussi grand que ce même voisin vienne fracturer ta porte en pleine journée. D'ailleurs j'espère que tu as une porte d'entrée multipoints blindée.
Donc sauf pour les personnes « sensibles » (activistes, etc...) dans des pays « sensibles », le risque est ridicule...
-
Les précédentes compromissions de WPA étaient partielles et ont été patchés. Désormais, c'est plus grave, le WPA2/3 estt fini, c'est la différence.
et je trouve que depuis peu, les acteurs ont compris qu'il ne fallait plus faire confiance aux gens, mais "forcer" les sécurités
Les deux approches sont compatibles. Dans un autre post, il y a des copies d'écran du serveur IPsec de la Freebox. Cela ne mange pas de pain de l'activier et de se connecter en IPSec. Alternativement, ma configuration IPsec va reposer sur un routeur GL.iNet GL-B1300, une AP sous OpenWRT / quadricoeur ARM / 256 G de RAM / 32 MB de flash à 80€. Ce n'est pas cher de se protéger et de mettre en place un VPN au dessus de WPA3. Donc autant le faire.
Pour le reste, c'est la politique de l'autruche : WIFI alliance, constructeurs et FAI (sauf Free). Ils nous prennent tous pour des demeurés. Vous pouvez écouter leur douce musique et ne rien faire. C'est effectivement comme avoir une porte d'entrée grande ouverte. Il y a des gens qui adorent garder leur porte toujours ouverte. C'est un choix comme un autre. Cela m'est déjà arrivé d'oublier de fermer ma maison de campagne à clé, la semaine suivante, rien n'avait bougé et tout était en ordre.