Bons Plans

 / 

WPA3 : de nouvelles failles dans le protocole de sécurité

Tech > Internet > WPA3 : de nouvelles failles dans le protocole de sécurité
Par Lionel,  publié le 5 août 2019 à 18h30.
 2 minutes
Tech

En avril déjà, les chercheurs sonnaient l'alerte. Les nouveaux défauts de sécurité découlent directement des cinq première failles.

Encore très peu ouvert au public car surtout implémenté en entreprises, le protocole de sécurité WPA3, successeur du WPA2, est manifestement criblé de bogues.

Deux nouvelles failles découvertes

En avril dernier, deux chercheurs en sécurité, Eyal Ronen et Mathy Vanhoef, dévoilaient cinq vulnérabilités au sein du protocole WPA3. Deux d’entre elles permettaient une attaque par downgrade, deux autres par handshake et la dernière enfin par déni de service (DDoS).

Les protocoles WPA permettent de sécuriser les communications sans fil entre deux appareils, et l’écrasante majorité des box de nos FAI sont liés à nos ordinateurs, smartphones et autres tablettes par du Wi-Fi protégé en WPA2. Le protocole WPA3 dévoilé en janvier 2018 par la Wi-Fi Alliance apportait, outre un nouveau standard de chiffrement en 128-bit du WPA3-Personnel, l’authentification simultanée des égaux (SAE, Simultaneous Authentication of Equals).

Des recommandations à l’origine du problème

Les deux nouvelles failles découvertes par le duo de chercheur trouvent leur origine dans les nouvelles recommendations du consortium Wi-Fi Alliance aux équipementiers afin de mitiger les attaques dévoilées en avril. La première faille, CVE-2019-13377, découle de l’utilisation des courbes cryptographiques Brainpool au lieu de courbes elliptiques P-521 — les chercheurs ont découverts qu’une attaque par force brute (dictionnaire) après une complexe opération permettait de découvrir le mot de passe du réseau.

La seconde faille, CVE-2019-13456, concerne l’implémentation du protocole EAP-pwd dans le framework Free-RADIUS utilisé par de nombreux fabricants pour offrir la connectivité Wi-Fi. Ce système d’authentification de type legacy n’est présent au sein du protocole WP3 que pour des raisons pratiques, ayant été auparavant intégré sur WPA et WPA2. Les chercheurs ont découverts des fuites d’informations dans l’authentification qui permettaient de trouver le mot de passe.

Nul doute que le Wi-Fi Alliance a encore du travail à faire pour parfaire le protocole WP3.

En savoir plus
Application mobile begeek

Newsletter Begeek


Recevez le meilleur de Begeek sélectionné par la rédaction.


Recevez chaque jour notre sélection de bons plans !

Dans Tech

Bon plan : un clavier mécanique gaming 105 touches très abordable
Microsoft va tuer son Cortana sur iOS et Android début 2020
Prenez garde avant de recharger votre smartphone sur une borne USB publique
La Ford Mustang Mach-E tout électrique se dévoile avant l’heure
iFixit démonte le MacBook Pro 16 pouces et s’intéresse au nouveau clavier
La caméra Logitech Circle 2 désormais compatible avec Apple HomeKit Secure Video
Facebook teste une nouvelle fonctionnalité empruntée d’Instagram
Différence en photo : iPhone 11 Pro ou Leica à 20 000$ ?
Le nouvel Apple MacBook Pro 16 pouces peut prendre deux écrans externes 6K
Apple supprime les applications de vaping de son Store