Qu'est-ce que WPA3, est-il sécurisé et dois-je l'utiliser ?
Qu’est-ce que WPA3 ? Wi-Fi Protected Access (WPA) est souvent appelé une norme ou un protocole de sécurité utilisé pour crypter et protéger les réseaux Wi-Fi comme celui que vous utilisez probablement à la maison ou au travail, mais il s'agit en fait d'un programme de certification de sécurité développé par le Wi-Fi Alliance pour sécuriser les réseaux informatiques sans fil.
WPA3, lancé en juin 2018, est le successeur de WPA2, que les experts en sécurité qualifient de « cassé ». L’objectif du développement de WPA3 était d’améliorer le WPA en termes de simplicité d’utilisation et d’augmentation de la force cryptographique. Comme son prédécesseur, il est disponible dans les éditions Personnel et Entreprise, mais cette version améliore le WPA2 avec des fonctionnalités d'authentification et de cryptage plus robustes, ainsi qu'une solution à la faille intégrée dans WPA2, KRACK. Il comprend également des fonctionnalités permettant de simplifier et de mieux sécuriser la connexion des appareils wifi IoT.
Contenu [ cacher ]
- Dans quelle mesure les normes actuelles de cryptage Wi-Fi sont-elles sécurisées ?
- Clé pré-partagée (PSK)
- Poignée de main à quatre
- WPA3 est-il sécurisé ? Bien sûr, mais il y a aussi des améliorations dans WPA2
- WPA3-Personnel
- WPA3-Entreprise
- Quatre axes d'amélioration
- Authentification simultanée d'égaux (SAE) contre les attaques par force brute
- Device Provisioning Protocol (DPP) pour la gestion des réseaux et des appareils IoT
- Chiffrement sans fil opportuniste (OWE) pour une navigation plus sûre sur les points d'accès
- Quels logiciels et appareils sont vulnérables à KRACK ?
- À quels types de vulnérabilités d’attaque les réseaux insuffisamment sécurisés exposent-ils ?
- Mots d’avertissement des chercheurs de la faille KRACK
- Qu’ont à dire les cyniques, y compris les développeurs informatiques, à propos du WPA3 ?
- Comment les entreprises peuvent-elles se protéger ? (Résolu)
- Conseils de sécurité Wifi pour les réseaux domestiques et les appareils IoT (résolu)
Le problème
Le KRACK (attaque de réinstallation de clé) le défaut peut être classé comme grave rejouer l'attaque , et est une forme d’attaque de l’homme du milieu. Le problème fondamental du WPA2, mis en évidence par la découverte de KRACK, est une faille dans la norme de certification WPA2 elle-même et non une faiblesse causée par une mauvaise configuration du produit ou une mauvaise mise en œuvre du service.
Nous approfondirons KRACK plus tard, mais en fin de compte, toute implémentation correcte de WPA2 est susceptible d'être vulnérable ; la vulnérabilité est inhérente au protocole WPA2.
La solution
En réponse à cette débâcle, en juin 2018, Wi-Fi Alliance® a annoncé l'introduction du Wi-Fi CERTIFIED WPA3™ sécurité, une norme de certification wifi qui :
- Corrige la vulnérabilité KRACK
- Met à niveau WPA2 avec une fonctionnalité de sécurité supplémentaire s. Ceci est important car il existe de nombreuses failles de sécurité Wi-Fi qui sont plus attrayantes pour les pirates informatiques et beaucoup plus faciles à pirater que KRACK.
Qu’est-ce que WPA3 ? La certification WPA3 pour les appareils Wi-Fi peut être comparée à un certificat de contrôle technique pour votre voiture. Sans certification, les fournisseurs de matériel ne peuvent pas prétendre être conformes aux normes de sécurité de la Wi-Fi Alliance.
C'est possible quelque temps avant que WPA3 ne soit complètement adhéré par les utilisateurs du wifi ; en attendant, « les appareils WPA2 continueront à interagir et à offrir une sécurité reconnue », selon Wi-Fi Alliance. WPA2 continue d'être obligatoire pour tous les appareils certifiés Wi-Fi pendant la période de transition.
Qu'est-ce que WPA3 et est-ce sécurisé ?
Cet article examinera comment WPA3 améliore la sécurité WPA2 et mettra KRACK en perspective. Bien que WPA3 soit définitivement la bonne voie de sécurité à emprunter à l'avenir, les utilisateurs doivent s'assurer de mettre en œuvre un stratégie de sécurité à plusieurs facettes et à plusieurs niveaux pour protéger tous les aspects de leur réseau wifi. WPA3 n'est pas suffisant pour protéger complètement les réseaux wifi, bien que des améliorations autres que le correctif KRACK contribuent grandement à combler d'autres failles de sécurité wifi. Nous aborderons également certaines des critiques qui ont été adressées à WPA3. Enfin, nous aborderons certaines des façons dont les particuliers et les entreprises peuvent pratiquer le Wi-Fi en toute sécurité. WPA3 est-il sécurisé ? Découvrons-le.
L’étendue de la vulnérabilité KRACK
La découverte de KRACK a suscité une certaine inquiétude au sein de la communauté informatique, car de nombreux appareils Wi-Fi utilisent WPA2 et de plus en plus de personnes utilisent ces appareils pour se connecter à Internet. Selon Remuer , en janvier 2018, il y avait plus de 400 millions de connexions sans fil dans le monde. KRACK pourrait rendre un grand pourcentage d’entre eux vulnérables aux attaques. (À propos, il n’y a pas encore eu d’attaques KRACK documentées dans la nature.)
Accès Internet sans fil selon les internautes dans le monde en juin 2015, par appareil (Source: Homme d'État )
Dans quelle mesure les normes actuelles de cryptage Wi-Fi sont-elles sécurisées ?
- Confidentialité équivalente filaire (WEP) – Très peu fiable mais toujours utilisé. Selon Kaspersky Labs, il ne faudrait que quelques minutes aux pirates pour pirater les réseaux protégés par WEP.
- Réseaux ouverts – Aucune sécurité du tout.
- Accès Wi-Fi protégé (WPA) – En 2002, le WPA était destiné à être seulement une mesure intermédiaire pour remplacer le WEP, et a été remplacé par le WPA2 en 2004. Le problème avec le WPA était l'utilisation du protocole inefficace TKIP protocole de cryptage qui n’est pas sécurisé.
- Accès protégé Wi-Fi 2 (WPA2)
- LePersonnelLa version est raisonnablement sécurisée mais vulnérable aux attaques par force brute et par dictionnaire. Il peut permettre l'interception des communications (poignées de main) entre le point d'accès et l'appareil au début d'une session wifi.
- LeEntrepriseLa version est dans une certaine mesure protégée contre les interceptions de poignée de main car elle utilise des procédures d'autorisation supplémentaires de l'entreprise.
- Accès protégé Wi-Fi 3 (WPA3) – Remplace WPA2 à partir de janvier 2018, même si son déploiement prendra un certain temps. Il offre la meilleure sécurité wifi du moment.
Gardez à l’esprit que SEULS les appareils protégés par WPA2 sont spécifiquement vulnérables à une attaque KRACK. Un réseau ouvert et non sécurisé n’est pas crypté et vulnérable à pratiquement tout type d’attaque, mais pas en termes de KRACK car il n’utilise pas WPA2.
Types de chiffrement utilisés dans points d'accès Wi-Fi publics à l'échelle mondiale (Source: Réseau de sécurité Kaspersky (KSN) )
Une analogie avec KRACKing
Les failles dans les négociations de négociation – le point où le point d'accès (AP) et le routeur se rencontrent pour confirmer les informations d'identification d'un client – sont au cœur de la vulnérabilité WPA2. Nous examinerons plus en détail pourquoi dans la section suivante où nous explorerons ce qu'est WPA3.
Pour planter le décor, voici une analogie avec la poignée de main processus (si vous laissez un peu de licence à l’imagination.)
Illustration d'une poignée de main à trois comme décrit dans l'analogie ci-dessous (Source: Wikipédia , avec modifications)
- Imaginons que vous êtes à la banque et que le caissier vous demande votre nom, votre mot de passe et votre numéro de téléphone avant de vous donner de l'argent. Vous et la banque avez convenu de cette procédure de sécurité pour prouver que vous êtes bien celui que vous prétendez être lorsque vous retirez de l'argent.
- Vous donnez au caissier votre nom, votre mot de passe et votre numéro de portable. Dans cette banque, l'étape suivante du processus consiste pour la banque à envoyer sur votre téléphone un code secret que vous utiliserez pour confirmer votre identité.
- Pendant ce temps, à votre insu, quelqu'un derrière vous dans la file d'attente vous écoute et a entendu votre nom et votre mot de passe, et surtout votre code secret .
- Après que vous ayez quitté la banque, l'intrus se précipite vers le caissier et, pendant que votre code secret est toujours valide, retire le dernier de vos fonds en utilisant votre nom, votre mot de passe et votre mot de passe volés. code secret .
Vous avez probablement repéré le point faible du scénario ci-dessus ; la sécurité a été compromise à un moment donné lors de l'établissement de vos informations d'identification ; pas lorsque vos informations d'identification étaient au-dessus de votre tête, mais parce que lorsque vous avez quitté la banque, votre code secret était encore valide . Si ce n’était pas le cas, votre nom, votre mot de passe, votre numéro de téléphone portable et votre code secret n’auraient été d’aucune utilité pour l’écoute indiscrète.
Il y a un rebondissement dans cette histoire : le caissier et l’écouteur sont de mèche. Ce faux caissier a en fait usurpé le vrai caissier (qui est sorti déjeuner) et c'est un attaque de l'homme du milieu . Les deux criminels ont désormais vos informations d'identification.
Ce problème, comme nous le verrons, est ce que WPA3 résout.
En quoi WPA2 est-il vulnérable ?
La principale vulnérabilité de WPA2 est la poignée de main à quatre il utilise pour sécuriser les connexions wifi à l'aide d'un Clé pré-partagée (PSK) . (Dans WPA3, le PSK est remplacé par une poignée de main d'authentification simultanée d'égaux (SAE).)
Dans cette section, nous utiliserons l’analogie de la section précédente pour illustrer le problème.
Clé pré-partagée (PSK)
La première partie du contrôle de sécurité que vous avez effectué à la banque dans l'analogie ci-dessus peut être comparée à WPA2-PSK , authentification ce qui nécessite qu'un individu se connecte à un réseau wifi (demander de l'argent à la banque dans notre métaphore) à l'aide d'une phrase secrète. Un PSK fait référence à un « secret partagé », dans ce cas, un mot de passe.
Remarques:
- WPA2 sans PSK est une option utilisée si vous souhaitez utiliser un serveur d'authentification. Une entreprise doit choisir cette option si elle souhaite attribuer des clés uniques aux appareils des employés. Si une clé est compromise, l’entreprise n’aura alors qu’à générer une nouvelle clé pour un seul appareil. Cela permettrait également d'éviter que d'autres appareils ne soient compromis par une clé perdue ou volée, ce qui pourrait être le cas si tous les appareils utilisaient la même clé.
- Quel est le différence entre WPA2-PSK et WPA2-Personnel ? Les termes sont utilisés de manière interchangeable bien que WPA2-Personal implique l'utilisation d'AES, tandis que WPA2-PSK implique un choix entre l'ancien TKIP et AES. Comme expliqué dans un Blogue Cisco , certains appareils autorisent WPA avec AES et WPA2 avec TKIP. AES est facultatif dans WPA mais dans WPA2, AES est obligatoire et TKIP est facultatif. Les deux termes font référence à l’utilisation de PSK, ce qui distingue WPA2-Personal de WPA2-Enterprise.
Poignée de main à quatre
L'authentification des informations d'identification dans les télécommunications est appelée poignée de main . À la banque, vous et le caissier avez échangé une poignée de main en trois étapes pour établir vos informations d'identification, le code secret étant la dernière poignée de main du processus.
Tous les réseaux wifi utilisent un poignée de main à quatre .
Dans l’illustration ci-dessous, le point d’accès wifi usurpé est le faux caissier avec lequel vous avez traité à la banque.
Illustration de la façon dont une attaque KRACK intercepte une poignée de main à quatre (Source: Énis )
Dionysos Rowell , écrivant pour Paquet6 , explique : « L’attaquant usurpera un véritable point d’accès et inciter un client à rejoindre le point d'accès malveillant, mais permet à l'authentification Wi-Fi de se terminer . Pour réaliser l'attaque KRACK, l'attaquant rejouera un message dans le cadre de la poignée de main à 4 voies. Le problème ici est que l’appareil de la victime acceptera la relecture d’un de ces messages alors qu’il ne le devrait pas. Ainsi permettre à l'attaquant d'utiliser une clé précédemment utilisée . Une clé ne doit être utilisée qu’une seule fois et c’est la faille des cibles d’attaque KRACK.
Dionicio poursuit : « La solution technique à une attaque KRACK consiste à empêcher la réutilisation des valeurs occasionnelles. Les appareils ne doivent pas accepter les clés précédemment utilisées .»
Lire une explication plus technique de nonce réutilisation par Mathy Vanhoef, chercheur KRACK.
WPA3 est-il sécurisé ? Bien sûr, mais il y a aussi des améliorations dans WPA2
L'annonce du WPA3 a fait quelques vagues, mais son déploiement prendra un certain temps. En attendant, certaines améliorations WPA2 seront également déployées :
- Imposer l’adoption de Protected Management Frames (PMF) sur tous les appareils « Wi-Fi CERTIFIED »
- S'assurer que les fournisseurs effectuent des contrôles réguliers sur les appareils certifiés (Sourceet: Engagé )
- Standardisation de la suite cryptographique 128 bits (Sourceet: Engagé )
Quelles sont les deux versions WPA3 ?
WPA est disponible en deux versions qui sont basées sur les exigences de l'utilisateur final (usage domestique ou professionnel). À première vue, il n'y a pas beaucoup de différence entre WPA3-Personal et WPA3-Enterprise, bien que ce dernier soit plus sécurisé qu'avant. conçu pour protéger les données ultra-sensibles et les grandes entreprises.
Résumons rapidement les deux versions telles que décrites par le Alliance Wi-Fi . Pour commencer, les deux versions :
- Utilisez les dernières méthodes de sécurité
- Interdire les anciens protocoles obsolètes
- Exiger l’utilisation de cadres de gestion protégés (PMF). 'Les cadres d'action de gestion de monodiffusion sont protégés à la fois contre les écoutes clandestines et la contrefaçon, et les cadres d'action de gestion de multidiffusion sont protégés contre la contrefaçon', selon Alliance Wi-Fi . En un mot, Wikipédia décrit les cadres de gestion comme « des mécanismes qui permettent l'intégrité des données, l'authenticité de l'origine des données et la protection contre la relecture ». Vous pouvez trouver une description technique de leur fonctionnement sur le Cisco site web.
WPA3-Personnel
Cette version offre une authentification par mot de passe avec une bonne sécurité même lorsque les utilisateurs choisissent des mots de passe courts ou faibles. Il ne nécessite pas de serveur d’authentification et constitue le protocole de base utilisé par les utilisateurs domestiques et les petites entreprises.
- Utilise un cryptage 128 bits
- Utilise une poignée de main d'authentification simultanée d'égaux (SAE) qui protège contre les attaques par force brute
- Intègre Forward Secrecy signifie qu'un nouvel ensemble de clés de cryptage est généré à chaque fois qu'une connexion WPA3 est établie, donc si le mot de passe initial est compromis, cela n'aura pas d'importance
- Renforce la sécurité sur les réseaux publics
- Gère facilement les appareils connectés
- Permet la sélection naturelle du mot de passe, qui, selon la Wi-Fi Alliance, permettra aux utilisateurs de se souvenir plus facilement des phrases secrètes.
WPA3-Entreprise
Fournit une protection supplémentaire aux réseaux d'entreprise transmettant des données sensibles, par exemple ceux des gouvernements, des organismes de santé et des institutions financières. Inclut un mode de sécurité optionnel de 192 bits minimum, aligné sur la suite d'algorithmes de sécurité nationale commerciale (CNSA) du Comité des systèmes de sécurité nationale. Il s'agissait d'une demande du gouvernement américain.
La principale différence entre WPA3-Personal et WPA3-Enterprise réside au niveau de l'authentification. La version personnelle utilise PSK et la version Enterprise un cocktail de fonctionnalités qui remplacent IEEE 802.1X de WPA2-Enterprise. Visite Alliance Wi-Fi pour la spécification technique.
Pour en savoir plus Eric Geier , écrivant pour Presse Cisco , explique comment les entreprises peuvent migrer vers WPA3-Enterprise.
Nouvelles fonctionnalités WPA3
Quatre axes d'amélioration
Quatre nouvelles fonctionnalités de WPA3 sont conçues pour améliorer WPA2. Cependant, un seul d’entre eux est obligatoire pour la certification WPA3 : la poignée de main du dragon. Vous trouverez ci-dessous un bref résumé des principales fonctionnalités. Nous y reviendrons plus en détail plus loin dans cette section.
- Poignée de main plus sécurisée – Le protocole d'authentification simultanée d'égaux (SAE) (alias Dragonfly handshake) nécessite une nouvelle interaction avec le réseau chaque fois qu'un appareil demande une clé de cryptage, ralentissant le taux de tentative d'attaque et rendant un mot de passe plus résistant au dictionnaire et à la force brute. attaques. Cela empêche également le décryptage hors ligne des données.
- Remplacement de la configuration protégée Wi-Fi (WPS) – un moyen plus simple d'ajouter en toute sécurité de nouveaux appareils à un réseau à l'aide du Wi-Fi Device Provisioning Protocol (DPP), qui vous permet d'ajouter en toute sécurité de nouveaux appareils à un réseau à l'aide d'un code QR ou d'un mot de passe.Connexion facilerend la configuration particulièrement facile pour la maison connectée et les appareils IoT.
- Cryptage non authentifié – Meilleure protection lors de l’utilisation de hotspots publics en utilisantWi-Fi amélioré ouvertqui fournit un cryptage non authentifié, une norme appelée Opportunistic Wireless Encryption (OWE).
- Tailles de clé de session plus grandes – WPA3-Enterprise prendra en charge des tailles de clé équivalentes à une sécurité de 192 bits pendant la phase d'authentification, qui sera plus difficile à déchiffrer.
Examinons plus en détail la litanie d’acronymes mentionnés ci-dessus.
Authentification simultanée d'égaux (SAE) contre les attaques par force brute
SAE est un échange de clés sécurisé basé sur un mot de passe utilisé par la version WPA3-Personal pour protéger les utilisateurs des attaques par force brute . Il est bien adapté aux réseaux maillés, qui tirent leur nom de la manière dont ils créent une couverture wifi. Comparitech décrit la configuration simplement : « En plaçant plusieurs appareils autour de votre maison, chacun envoyant un signal sans fil, vous créez un « maillage » ou un réseau de couverture sans fil autour de votre maison. Cela aide à éliminer les points morts ou faibles.
Les avantages du SAE :
- Basé sur Échange de clés IEFT Dragonfly , un modèle cryptographique d'authentification à l'aide d'un mot de passe ou d'une phrase secrète, qui résiste aux attaques actives et passives, ainsi qu'aux attaques par dictionnaire hors ligne.
- Permet Transmettre le secret qui empêche un attaquant d'enregistrer une transmission cryptée qui pourrait potentiellement être décodée ultérieurement si le mot de passe du réseau sans fil était compromis à l'avenir
- Permet uniquement une estimation de mot de passe par session . Même si les attaquants volent des données dans l’espoir de déchiffrer le mot de passe hors ligne pendant leurs loisirs, ils seront bloqués par la fonction de supposition unique car ils doivent « demander » au routeur wifi à chaque fois si leur supposition est correcte. Essentiellement, cela limite un attaquant aux attaques en temps réel. On s'est demandé si cette fonctionnalité pourrait également limiter les utilisateurs légitimes. Dans le monde réel, il est peu probable que les utilisateurs légitimes fassent 100 suppositions consécutives automatisées en une seconde, comme le font les pirates, et une application peut être codée pour autoriser un nombre limité de suppositions avant de commencer à ralentir le service. Cette fonctionnalité renforce également la sécurité des mots de passe faibles.
Device Provisioning Protocol (DPP) pour la gestion des réseaux et des appareils IoT
Wi-Fi CERTIFIÉ Easy Connect™(qui remplace le WiFi Provisioning Service de WPA2) vous aide à connecter tous vos appareils, même ceux qui ne disposent pas d'une interface conviviale pour saisir votre mot de passe (par exemple Google Home ou votre réfrigérateur intelligent), à l'aide d'un seul appareil intermédiaire.
Alliance Wi-Fi décrit son fonctionnement : Un propriétaire de réseau choisit un périphérique comme point central de configuration. Bien qu'un appareil doté d'une interface graphique agréable soit le plus simple, vous pouvez utiliser n'importe quel appareil capable de scanner un code de réponse rapide (QR) ou d'utiliser NFC comme périphérique de configuration. Exécuter le DPP – une procédure d'inscription unique – à partir de cet appareil, connecte tous les appareils analysés et leur donne les informations d'identification nécessaires pour accéder au réseau. Note: Il s'agit d'une fonctionnalité facultative et disponible uniquement sur les appareils dotés deConnexion facile.
Une fois qu'un appareil Wi-Fi a été inscrit, il utilise sa configuration pour découvrir et se connecter au réseau via un point d'accès (Source: Alliance Wi-Fi )
Chiffrement sans fil opportuniste (OWE) pour une navigation plus sûre sur les points d'accès
OWE est le moteur duWi-Fi amélioré ouvertfonctionnalité, implémentée pour protéger les utilisateurs dans les hotspots publics/invités et empêcher les écoutes clandestines . Il remplace l'ancien 802.11 norme d’authentification « ouverte ». Avec OWE, vos données sont cryptées même si vous n’avez pas saisi de mot de passe. Il a été conçu pour fournir un transfert de données et une communication cryptés sur des réseaux qui n'utilisent pas de mots de passe (ou utilisent un mot de passe partagé) grâce à la protection individualisée des données (IDP) ; en substance, chaque session autorisée possède son propre jeton de chiffrement . Cela signifie que les données de chaque utilisateur sont protégées dans son propre coffre-fort. Mais cela fonctionne également sur les réseaux protégés par mot de passe, garantissant que si un attaquant obtient le mot de passe du réseau, il n'aura toujours pas accès aux données cryptées sur les appareils du réseau (voir SAE ci-dessus.)
Êtes-vous vulnérable à KRACK ?
Tout n’est pas sombre. Quiconque utilise le wifi est vulnérable, mais relativisons le problème. Un pirate informatique ne peut intercepter que le trafic non crypté entre votre appareil et votre routeur. Si les données ont été correctement chiffrées via HTTPS, un attaquant ne peut pas les lire.
Quelques assurances de la part de Brendan Fitzpatrick, vice-président, Cyber Risk Engineering, écrivant pour Axio :
- Une attaque ne peut pas être lancée à distance, un attaquant doit être à portée physique d'un réseau wifi particulier.
- Une attaque n’a lieu que lors de la poignée de main à quatre.
- La phrase secrète wifi n’est pas révélée lors de l’attaque et l’attaquant n’est pas autorisé à rejoindre le réseau.
- Ce n'est que si l'attaque réussit que l'attaquant peut potentiellement déchiffrer le trafic entre la victime et son point d'accès.
- Actuellement, l’attaque se concentre uniquement sur le côté client de la poignée de main.
Dans un article de blog , Robert Graham Remarques, KRACK « ne peut pas vaincre SSL/TLS ou VPN ». Il ajoute : « Votre réseau domestique est vulnérable. De nombreux appareils utiliseront SSL/TLS, tout va donc bien, comme votre Amazon Echo, que vous pouvez continuer à utiliser sans vous soucier de cette attaque. D'autres appareils, comme vos ampoules Phillips, peuvent ne pas être aussi protégés. La solution? Correctif avec les mises à jour de votre fournisseur.
Quels logiciels et appareils sont vulnérables à KRACK ?
Selon Matty Vanhoef , Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys et d’autres pourraient tous être affectés par certaines variantes des attaques. Les versions Linux et Android 6.0 et supérieures sont particulièrement vulnérables.
Vous pouvez trouver une liste des fournisseurs concernés sur la page Web du Cert Software Engineering Institute, Base de données des notes de vulnérabilité . Le site fournit des liens vers des informations sur les correctifs et les correctifs des fournisseurs.
À quels types de vulnérabilités d’attaque les réseaux insuffisamment sécurisés exposent-ils ?
Il ne s’agit pas seulement du danger d’être KRACK. Un réseau wifi non sécurisé ne demande qu’à être attaqué et WPA3 contribuera à atténuer ces risques. Certificat américain décrit les scénarios d’attaque potentiels :
- Ferroutage – La portée Wi-Fi intérieure typique est de 150 à 300 pieds. Si vous habitez à proximité de votre voisin, votre connexion pourrait être ouverte aux attaquants… ou même au fils geek d'à côté qui utilise votre wifi pour télécharger ses films.
- Conduite de service – Un type de ferroutage dans lequel des attaquants potentiels parcourent les quartiers avec une antenne à la recherche de réseaux sans fil non sécurisés.
- Attaques de jumeaux maléfiques – Dans une attaque de jumeau maléfique, un attaquant imite un point d'accès à un réseau public, en configurant son signal de diffusion pour qu'il soit plus fort que celui généré par le point d'accès légitime. Naturellement, les utilisateurs se connectent au signal le plus fort, celui du criminel. Les données de la victime sont alors facilement lues par le pirate informatique. Vérifiez toujours le nom et le mot de passe d'un hotspot wifi avant de vous connecter.
- Reniflage sans fil – Évitez les points d’accès publics qui ne sont pas sécurisés et où les données ne sont pas cryptées. Les criminels utilisent « renifleurs » pour trouver des informations sensibles telles que des mots de passe ou des numéros de carte de crédit.
- Accès informatique non autorisé – Un point d'accès non sécurisé pourrait permettre à un attaquant d'accéder à tous les répertoires et fichiers que vous avez involontairement rendus disponibles pour le partage. Bloquez toujours le partage de fichiers en public.
- Surf sur l'épaule – Dans les espaces publics, méfiez-vous des rôdeurs, des attaquants qui vous surveillent en train de taper en passant ou qui filment votre session. Vous pouvez acheter un protecteur d'écran pour éviter cela.
Vol d'appareils mobiles – Ce n’est pas seulement le réseau qui présente un risque pour vos données. Si votre appareil est volé alors que vous travaillez dans un hotspot, c'est une aubaine pour les criminels. Assurez-vous que vos données sont toujours protégées par mot de passe et que les informations sensibles sont cryptées. Cela inclut les données sur les périphériques de stockage portables.
Quelques mises en garde
Mots d’avertissement des chercheurs de la faille KRACK
Mathy Vanhoef, chercheur postdoctoral en sécurité informatique à la KU Leuven et l'un des chercheurs qui ont découvert KRACK, sur son site web a quelques mises en garde concernant WPA3 qui méritent d'être méditées.
- Poignée de main SAE – Si la poignée de main SAE n’est pas soigneusement mise en œuvre, elle peut être vulnérable à attaques par canal secondaire , que Wikipédia décrit comme des attaques basées sur des informations sur l'implémentation d'un logiciel. Il semble que les vulnérabilités exploitables résultant de configurations incorrectes ne puissent pas être évitées, même par WPA3.
- Cryptage non authentifié – Même si l’utilisation du chiffrement opportuniste sans fil (OWE) renforcera la confidentialité des utilisateurs dans les réseaux ouverts, Vanhoef suggère que seules les attaques passives (celles dans lesquelles les pirates détectent le trafic) peuvent être évitées. Les attaques actives (celles utilisant des points d'accès factices pour tromper les utilisateurs) permettront toujours à un adversaire d'intercepter le trafic. Vanhoef explique :
L'un des inconvénients d'OWE est qu'il n'existe aucun mécanisme permettant de faire confiance à un point d'accès lors de la première utilisation. . Comparez cela avec, par exemple, SSH : la première fois que vous vous connectez à un serveur SSH, vous pouvez faire confiance à la clé publique du serveur. Cela empêche un adversaire d’intercepter le trafic à l’avenir. Cependant, avec OWE, il n'est pas possible de faire confiance à un point d'accès particulier lors de la première utilisation. Ainsi, même si vous vous êtes déjà connecté à un point d’accès particulier, un adversaire peut toujours configurer un faux point d’accès et vous y faire connecter à l’avenir.
- Opportunité manquée – Une seule des quatre fonctionnalités vantées par la Wi-Fi Alliance dans la préparation du WPA3 est réellement obligatoire pour le WPA3. « Malheureusement, le programme de certification WPA3 n'exige que la prise en charge de la nouvelle poignée de main libellule. C'est ça. Les autres fonctionnalités sont soit facultatives, soit font partie d’autres programmes de certification. Je crains qu'en pratique, cela signifie que les fabricants se contenteront de mettre en œuvre la nouvelle poignée de main, d'y apposer une étiquette « certifié WPA3 » et d'en finir avec cela », déclare Vanhoef. Le résultat final sera que l’utilisateur final ne saura pas réellement quelles fonctionnalités sont incluses ni dans quelle mesure elles sont sécurisées.
Qu’ont à dire les cyniques, y compris les développeurs informatiques, à propos du WPA3 ?
Rejoignez les conversations sur Le blog de Bruce Schneiner , DD-WRT , Échange de pile de sécurité , ou Communauté Spiceworks pour des informations intéressantes sur la question de savoir si WPA3 est vraiment la panacée ultime pour les vulnérabilités de sécurité wifi. Et si la vulnérabilité vaut la peine de trop dormir. Quelques contributions :
- « Je pense que WPA3 sera utile. Pendant un certain temps - jusqu'à ce que les mauvais garçons trouvent un autre trou .»
- 'UN excellente source de revenus pour les fournisseurs de matériel qui arrêtera de patcher le matériel actuel et insistera pour que vous achetiez les nouveaux WAP si vous voulez WPA3.
- « L’aspect le plus décevant du WPA3 est que, comme toutes les normes wifi précédentes (WEP, WPA, WPA2, voire WPS), celle-ci a été développé par un consortium fermé et réservé aux membres […] Tout ce que promet l’annonce de WPA3, c’est que le processus fermé sur WPA4 peut maintenant commencer.
- ' Le vecteur d'attaque utilisant KRACK est tout simplement trop petit (et continuera de diminuer) pour généraliser ces attaques. » Les réseaux ouverts, par exemple, ne sont pas vulnérables à KRACK mais sont beaucoup plus exposés aux attaques malveillantes que les réseaux WPA2. Au moment de la rédaction de cet article, aucune attaque KRACK n’a en fait été documentée ; Selon les experts, cela s’explique par le fait que l’effort est trop important pour les cybercriminels alors qu’il existe de nombreuses cibles plus vulnérables.
Sur cette note cynique, pratiquez le Wi-Fi sécurisé, restez informé et commencez à économiser pour un nouveau routeur . Selon Dion Phillips , écrivant pour InfiniGate , « … il est peu probable que les appareils sans fil actuels soient mis à jour pour prendre en charge WPA3 et il est bien plus probable que la prochaine vague d'appareils soit soumise au processus de certification. Cela étant dit, les appareils clients devront également être certifiés de la même manière pour pouvoir bénéficier de la nouvelle certification.
Experts Je suis d'accord que le déploiement aura lieu jusqu'à la fin de 2019. Vous devrez acheter un nouveau routeur, mais WPA3 est rétrocompatible, vous n'aurez donc peut-être pas besoin de mettre à niveau tous vos appareils connectés, à moins qu'ils ne soient vraiment anciens.
Comment pouvez-vous vous protéger ?
Comment les entreprises peuvent-elles se protéger ? (Résolu)
Mathieu Hughes propose quelques suggestions pratiques tempérées par quelques mots de prudence.
- Installer un correctif rétrocompatible – Malheureusement, dit Hughes, non seulement de nombreuses personnes tardent à installer correctifs s, de nombreux fabricants tardent à les publier.
- Installer un VPN , un tunnel crypté entre les appareils, empêchant toute écoute clandestine par des tiers. Pour certaines personnes, dit-il, cela peut s'avérer peu pratique car ils ne pourront pas accéder à d'autres appareils connectés sur leur réseau.
- Utiliser SSL/TLS – Cela fournit une couche de cryptage supplémentaire pour contrecarrer les voleurs et les écoutes clandestines, car il crypte les paquets au niveau de la couche session plutôt qu'au niveau de la couche réseau (qui pourrait être ciblée par les attaquants KRACK.)
- Mettre à jour les appareils et les logiciels – Assurez-vous que votre service informatique déploie régulièrement des mises à jour logicielles et des correctifs pour tous les appareils de l'entreprise, y compris les BYOD. Contactez les fabricants pour vous assurer qu'ils ont effectivement publié des correctifs corrigeant la faille KRACK.
En outre, sécurisez votre routeur – Assurez-vous que votre routeur est verrouillé, à l’abri des menaces internes ou des étrangers visitant le bâtiment. Il existe également un certain nombre de paramètres par défaut sur votre routeur que vous pouvez modifier pour renforcer la sécurité, par ex. restreindre le trafic entrant, désactiver les services inutilisés, modifier les informations de connexion par défaut et modifier le SSID sur les appareils plus anciens. Vérifiez que le pare-feu de votre routeur est activé (cela n'est pas toujours fait automatiquement.) Utilisez le SSID pour créer des points d'accès séparés pour votre personnel et vos clients. Désactivez la configuration protégée Wi-Fi (WPS), utilisée pour faciliter le couplage des appareils.
Lisez également les conseils connexes pour les réseaux domestiques ci-dessous.
Conseils de sécurité Wifi pour les réseaux domestiques et les appareils IoT (résolu)
- Pratiquez le sens de base de la sécurité Wi-Fi – Lire le guide de Comparitech pour sécuriser votre réseau wifi domestique .
- Arrêtez d'utiliser le Wi-Fi – Connectez-vous à Internet via une connexion Ethernet ou data (3/4G) chez vous, ou utilisez les données mobiles, notamment pour les transactions sensibles.
- Mettre à jour les appareils et les logiciels – Cela inclut tous vos appareils ainsi que votre routeur. Contactez les fabricants pour vous assurer qu'ils ont effectivement publié des correctifs corrigeant la faille KRACK.
- Désactiver le partage de fichiers – Même s’il est tentant de partager des photos avec vos amis et votre famille, évitez de le faire dans un lieu public. Vous devez également créer un répertoire pour le partage de fichiers et restreindre l'accès aux autres répertoires. Protégez toujours par mot de passe tout ce que vous partagez.
- N'effectuez pas de transactions sensibles dans les lieux publics – Faites vos opérations bancaires en ligne à la maison.
- Installez HTTPS partout – HTTPS partout de l'Electronic Frontier Foundation (EFF) est une extension open source pour Firefox, Chrome et Opera qui crypte les communications avec la plupart des sites Web. L'extension n'est pas une option de sécurité si un site Web n'offre pas de cryptage HTTPS, mais s'il est disponible, HTTPS Everywhere garantira qu'il s'agit bien du contenu qu'il diffuse.
- Utiliser un VPN – Bien que les VPN offrent une grande sécurité pour vos données, assurez-vous que votre fournisseur est aussi soucieux de la sécurité que vous et reconnaît votre droit à la vie privée. Rapporté par Bryan Clark dans Le prochain article Web , PureVPN, qui prétendait ne pas conserver de journaux ni d'informations d'identification de ses utilisateurs, semble mystérieusement avoir fourni suffisamment d'informations enregistrées pour permettre au FBI de suivre et d'arrêter un harceleur. Votre VPN conserve-t-il des journaux ? Dans une étude approfondie, Comparitech révèle la vérité sur 123 politiques de journalisation VPN.
- Configurer un routeur wifi domestique – Un routeur virtuel vous permet de partager votre connexion Internet avec d’autres appareils à proximité. C'est plus simple que vous ne le pensez, comme configurer un point d'accès Wi-Fi sur votre smartphone.
- Sécurisez votre routeur – Il existe un certain nombre de paramètres par défaut sur votre routeur que vous pouvez modifier pour renforcer la sécurité, par ex. restreindre le trafic entrant, désactiver les services inutilisés et modifier le SSID sur les appareils plus anciens.
- Confirmez que votre FAI est à jour – De nombreux utilisateurs Wi-Fi domestiques utilisent le routeur fourni par leur FAI. Si vous le faites, confirmez que votre FAI a corrigé tous ses appareils.
- Évitez les hotspots wifi publics – Ou, au moins, apprenez à minimiser les risques liés à l'utilisation du wifi public.
- Vérifier manuellement que les URL sont sécurisées – Les URL HTTP utilisent le cryptage SSL pour protéger les visiteurs de leur site. Les URL HTTP ne le font pas. Vous pouvez voir si une URL est sécurisée dans la barre d'adresse. Activez également leUtilisez toujours une connexion sécurisée(HTTPS) sur votre appareil.
- Utilisez des mots de passe sécurisés – Comparitech a quelques suggestions sur créer des mots de passe forts . Changez toujours les mots de passe par défaut, comme « Admin » ou « 123 ».
- Gardez le logiciel antivirus à jour – Choisissez un logiciel antivirus réputé et maintenez-le à jour. Il existe également de nombreuses applications antivirus gratuites.
- Éteignez-le – Éteignez votre connexion wifi lorsque vous ne l'utilisez pas et désactivez la reconnexion automatique.
- Utiliser une sécurité multicouche – Gardez le pare-feu de votre système d’exploitation à jour et utilisez authentification à deux facteurs pour accéder à vos comptes Internet.
- Utiliser le cryptage Advanced Encryption Standard (AES) – Vérifiez que votre réseau domestique utilise WPA2 avec cryptage AES , pas TKIP. Les deux options de chiffrement sont vulnérables au décryptage du trafic via KRACK, mais AES n'est pas vulnérable à l'injection de paquets.
Ai-je besoin de WPA3 ?
Il vaut mieux prévenir que guérir, alors oui, vous le faites. Mais pendant la période de transition (la période pendant laquelle les fournisseurs certifieront leurs appareils), vous pouvez appliquer le correctif WPA2.
Changer votre mot de passe WPA2 ne vous protégera pas contre une attaque KRACK qui se concentre sur la gestion des clés. Cependant, il est judicieux, en matière de sécurité, de toujours choisir des mots de passe forts.
Mais est-ce suffisant ?
John Wu , dans un article sur LinkedIn , affirme que WPA3 n'est pas suffisant pour assurer une sécurité totale du wifi car les pirates utilisent d'autres méthodes pour attaquer les méthodes wifi. 'Le récent Virus VPNFilter ne profite d’aucune des lacunes du WPA2. Au lieu de cela, l’attaque cible les vulnérabilités connues de l’interface Web des routeurs WiFi, les ports distants ouverts avec des mots de passe codés en dur, les logiciels qui ne sont pas mis à jour et les appareils IoT connectés vulnérables.
La solution? Utilisez les listes de contrôle ci-dessus pour savoir comment protéger vos connexions Wi-Fi comme guide pour créer un approche à plusieurs niveaux de la sécurité Wi-Fi . En tête de liste ? Restez à jour avec les correctifs.