Bons Plans

 / 

WPA3 : de nouvelles failles dans le protocole de sécurité

Tech > Internet > WPA3 : de nouvelles failles dans le protocole de sécurité
Par Lionel,  publié le 5 août 2019 à 18h30.
 2 minutes

Tech

En avril déjà, les chercheurs sonnaient l'alerte. Les nouveaux défauts de sécurité découlent directement des cinq première failles.

Encore très peu ouvert au public car surtout implémenté en entreprises, le protocole de sécurité WPA3, successeur du WPA2, est manifestement criblé de bogues.

Deux nouvelles failles découvertes

En avril dernier, deux chercheurs en sécurité, Eyal Ronen et Mathy Vanhoef, dévoilaient cinq vulnérabilités au sein du protocole WPA3. Deux d’entre elles permettaient une attaque par downgrade, deux autres par handshake et la dernière enfin par déni de service (DDoS).

Les protocoles WPA permettent de sécuriser les communications sans fil entre deux appareils, et l’écrasante majorité des box de nos FAI sont liés à nos ordinateurs, smartphones et autres tablettes par du Wi-Fi protégé en WPA2. Le protocole WPA3 dévoilé en janvier 2018 par la Wi-Fi Alliance apportait, outre un nouveau standard de chiffrement en 128-bit du WPA3-Personnel, l’authentification simultanée des égaux (SAE, Simultaneous Authentication of Equals).

Des recommandations à l’origine du problème

Les deux nouvelles failles découvertes par le duo de chercheur trouvent leur origine dans les nouvelles recommendations du consortium Wi-Fi Alliance aux équipementiers afin de mitiger les attaques dévoilées en avril. La première faille, CVE-2019-13377, découle de l’utilisation des courbes cryptographiques Brainpool au lieu de courbes elliptiques P-521 — les chercheurs ont découverts qu’une attaque par force brute (dictionnaire) après une complexe opération permettait de découvrir le mot de passe du réseau.

La seconde faille, CVE-2019-13456, concerne l’implémentation du protocole EAP-pwd dans le framework Free-RADIUS utilisé par de nombreux fabricants pour offrir la connectivité Wi-Fi. Ce système d’authentification de type legacy n’est présent au sein du protocole WP3 que pour des raisons pratiques, ayant été auparavant intégré sur WPA et WPA2. Les chercheurs ont découverts des fuites d’informations dans l’authentification qui permettaient de trouver le mot de passe.

Nul doute que le Wi-Fi Alliance a encore du travail à faire pour parfaire le protocole WP3.

Newsletter Begeek


Recevez le meilleur de Begeek sélectionné par la rédaction.


Recevez chaque jour notre sélection de bons plans !

Dans Tech

Bon plan : -30€ sur le Kindle Paperwhite d’Amazon
Amazon lance Amazon Music HD, pour de la musique en très haute définition
Bon plan : une souris gaming Logitech à 49 euros
Amazon a modifié son algorithme de recherche pour favoriser ses propres marques
Le OnePlus 7T sera présenté le 26 Septembre… et le 10 Octobre
iPhone 11 ou iPhone XR : notre comparatif avant de l’acheter
Le Google Pixel 4 sera dévoilé officiellement le 15 Octobre
Le OnePlus 7T Pro pourrait être dévoilé le 10 Octobre prochain
Toyota rêve d’une voiture solaire qui peut rouler à l’infini
Oubliez le Vantablack, des scientifiques du MIT ont un noir encore plus noir