Vous aimez nos contenus ?
Recevez chaque jour nos dernières publications gratuitement et directement dans votre boite mail
WPA3 : des failles dans le protocole de sécurité
publié le 12 avril 2019 à 16h30.
Encore marginal, le protocole de sécurité WPA3 a tendance à remplacer en entreprises le WPA2. Deux chercheurs en sécurité rapportent avoir trouver plusieurs failles dans celui-ci. La Wi-Fi Alliance a d'ores et déjà prit des mesures de prévention.
Successeur du WPA2, le protocole de sécurité WPA3 implémenté aujourd’hui dans de rares entreprises et encore très peu ouvert au public connaît déjà une première crise.
Pas de vrai danger pour le public
Les protocoles WPA permettent de sécuriser les communications sans fil entre deux appareils, et l’écrasante majorité des box de nos FAI sont liés à nos ordinateurs, smartphones et autres tablettes par du Wi-Fi protégé en WPA2. Le protocole WPA3 dévoilé en janvier 2018 par la Wi-Fi Alliance apportait, outre un nouveau standard de chiffrement en 128-bit du WPA3-Personnel, l’authentification simultanée des égaux (Simultaneous Authentication of Equals, SAE).
Celle-ci, qui devait garantir plus de sécurité, a été mise à mal par deux chercheurs en sécurité, Eyal Ronen et Mathy Vanhoef, ce dernier s’étant déjà fait connaître pour la découverte de la vulnérabilité Krack en octobre 2017. Baptisées DragonBlood, en référence au protocole WPA3 d’échange de clés Dragonfly, les cinq vulnérabilités sont bien distinctes.
Les deux premières sont une attaque par downgrade qui permet à l’attaquant de forcer le basculement de WPA3 vers WPA2 puis de réaliser une attaque par dictionnaire (bruteforce). Les deux suivantes consistent à exploiter des bribes d’informations mises en cache lors de la phase d’initialisation (handshake) pour récupérer le mot de passe via une méthode proche de l’attaque par dictionnaire. Enfin les deux chercheurs relèvent une faille permettant une attaque par déni de service (DDoS).
Le WPA3 étant très peu implémenté, cela ne pose pas de danger particulier comme le signale le consortium Wi-Fi Alliance : des correctifs logiciels peuvent être apportés, et le nombre d’appareils concernés est relativement faible. Il rappelle également qu’il est essentiel d’appliquer les derniers correctifs à ceux-ci.