Mot de passe faibledit
Les clés pré-partagées WPA et WPA2 restent vulnérables aux attaques de piratage de mots de passe si les utilisateurs s’appuient sur un mot de passe ou une phrase secrète faible. Les hachages de phrases de passe WPA sont ensemencés à partir du nom SSID et de sa longueur ; des tables arc-en-ciel existent pour les 1 000 premiers SSID de réseau et une multitude de mots de passe courants, ne nécessitant qu’une recherche rapide pour accélérer le craquage de WPA-PSK.
Le forçage brutal de mots de passe simples peut être tenté à l’aide de la suite Aircrack à partir de la poignée de main d’authentification à quatre voies échangée lors d’une association ou d’une ré-authentification périodique.
WPA3 remplace les protocoles cryptographiques sensibles à l’analyse hors ligne par des protocoles qui nécessitent une interaction avec l’infrastructure pour chaque mot de passe deviné, ce qui pose des limites temporelles au nombre de suppositions. Cependant, les défauts de conception de WPA3 permettent aux attaquants de lancer des attaques par force brute (voir Attaque de sang-dragon).
Absence de secret direct
WPA et WPA2 ne fournissent pas de secret direct, ce qui signifie qu’une fois qu’une personne adverse découvre la clé pré-partagée, elle peut potentiellement déchiffrer tous les paquets cryptés à l’aide de cette PSK transmise dans le futur et même dans le passé, qui pourraient être collectés passivement et silencieusement par l’attaquant. Cela signifie également qu’un attaquant peut capturer et déchiffrer silencieusement les paquets des autres si un point d’accès protégé par WPA est fourni gratuitement dans un lieu public, car son mot de passe est généralement partagé avec n’importe qui à cet endroit. En d’autres termes, WPA ne protège que des attaquants qui n’ont pas accès au mot de passe. Pour cette raison, il est plus sûr d’utiliser la sécurité de la couche de transport (TLS) ou similaire en plus de cela pour le transfert de données sensibles. Cependant, à partir du WPA3, cette question a été abordée.
Usurpation et déchiffrement de paquets WPA
Mathy Vanhoef et Frank Piessens ont considérablement amélioré les attaques WPA-TKIP d’Erik Tews et Martin Beck. Ils ont démontré comment injecter un nombre arbitraire de paquets, chaque paquet contenant au plus 112 octets de charge utile. Ceci a été démontré en implémentant un scanner de port, qui peut être exécuté sur n’importe quel client utilisant WPA-TKIP. De plus, ils ont montré comment déchiffrer des paquets arbitraires envoyés à un client. Ils ont mentionné que cela peut être utilisé pour détourner une connexion TCP, permettant à un attaquant d’injecter du JavaScript malveillant lorsque la victime visite un website.In en revanche, l’attaque Beck-Tews n’a pu déchiffrer que des paquets courts avec un contenu principalement connu, tels que des messages ARP, et n’a permis l’injection que de 3 à 7 paquets d’au plus 28 octets. L’attaque Beck-Tews nécessite également une qualité de service (telle que définie dans 802.11e) à activer, alors que l’attaque de Vanhoef-Piessens ne le fait pas. Aucune attaque ne conduit à la récupération de la clé de session partagée entre le client et le point d’accès. Les auteurs disent que l’utilisation d’un court intervalle de relance peut empêcher certaines attaques, mais pas toutes, et recommandent fortement de passer de TKIP à CCMP basé sur AES.
Halvorsen et d’autres montrent comment modifier l’attaque Beck-Tews pour permettre l’injection de 3 à 7 paquets d’une taille d’au plus 596 octets. L’inconvénient est que leur attaque nécessite beaucoup plus de temps pour s’exécuter: environ 18 minutes et 25 secondes. Dans d’autres travaux, Vanhoef et Piessens ont montré que, lorsque le WPA est utilisé pour chiffrer des paquets de diffusion, leur attaque d’origine peut également être exécutée. Il s’agit d’une extension importante, car beaucoup plus de réseaux utilisent WPA pour protéger les paquets de diffusion que pour protéger les paquets monodiffusion. Le temps d’exécution de cette attaque est en moyenne d’environ 7 minutes, contre les 14 minutes de l’attaque originale de Vanhoef-Piessens et Beck-Tews.
Les vulnérabilités de TKIP sont importantes en ce sens que WPA-TKIP avait été considéré comme une combinaison extrêmement sûre; en effet, WPA-TKIP est toujours une option de configuration sur une grande variété de périphériques de routage sans fil fournis par de nombreux fournisseurs de matériel. Une enquête réalisée en 2013 a montré que 71% autorisaient encore l’utilisation de TKIP et que 19% soutenaient exclusivement TKIP.
WPS PIN recoveryEdit
Une faille de sécurité plus grave a été révélée en décembre 2011 par Stefan Viehböck qui affecte les routeurs sans fil dotés de la fonction WPS (Wi-Fi Protected Setup), quelle que soit la méthode de cryptage utilisée. La plupart des modèles récents ont cette fonctionnalité et l’activent par défaut. De nombreux fabricants d’appareils Wi-Fi grand public avaient pris des mesures pour éliminer le potentiel de choix de phrases de passe faibles en promouvant des méthodes alternatives de génération et de distribution automatiques de clés fortes lorsque les utilisateurs ajoutent un nouvel adaptateur ou un nouvel appareil sans fil à un réseau. Ces méthodes comprennent l’appui sur les boutons des appareils ou la saisie d’un code PIN à 8 chiffres.
La Wi-Fi Alliance a normalisé ces méthodes en tant que Configuration protégée par Wi-Fi ; cependant, la fonctionnalité de code PIN, largement implémentée, a introduit une nouvelle faille de sécurité majeure. La faille permet à un attaquant distant de récupérer le code PIN WPS et, avec lui, le mot de passe WPA / WPA2 du routeur en quelques heures. Les utilisateurs ont été invités à désactiver la fonctionnalité WPS, bien que cela puisse ne pas être possible sur certains modèles de routeur. En outre, le code PIN est écrit sur une étiquette sur la plupart des routeurs Wi-Fi avec WPS et ne peut pas être modifié s’il est compromis.
WPA3 introduit une nouvelle alternative pour la configuration des périphériques qui ne disposent pas de capacités d’interface utilisateur suffisantes en permettant aux périphériques à proximité de servir d’interface utilisateur adéquate à des fins de provisionnement du réseau, atténuant ainsi le besoin de WPS.
MS-CHAPv2 et absence de validation CN du serveur AAA
Plusieurs faiblesses ont été trouvées dans MS-CHAPv2, dont certaines réduisent considérablement la complexité des attaques par force brute, les rendant réalisables avec du matériel moderne. En 2012, la complexité de la rupture de MS-CHAPv2 a été réduite à celle de la rupture d’une seule clé DES, travail de Moxie Marlinspike et Marsh Ray. Moxie a conseillé: « Les entreprises qui dépendent des propriétés d’authentification mutuelle de MS-CHAPv2 pour la connexion à leurs serveurs Radius WPA2 devraient immédiatement commencer à migrer vers autre chose. »
Les méthodes EAP tunnelisées utilisant TTL ou PEAP qui chiffrent l’échange MSCHAPv2 sont largement déployées pour se protéger contre l’exploitation de cette vulnérabilité. Cependant, les implémentations de clients WPA2 répandues au début des années 2000 étaient sujettes à une mauvaise configuration par les utilisateurs finaux ou, dans certains cas (par exemple, Android), manquaient de moyen accessible à l’utilisateur pour configurer correctement la validation des certificats de serveur AAA CNs. Cela a étendu la pertinence de la faiblesse initiale de MSCHAPv2 dans les scénarios d’attaque MiTM. Dans le cadre de tests de conformité WPA2 plus stricts annoncés aux côtés de WPA3, les logiciels clients certifiés seront tenus de se conformer à certains comportements entourant la validation du certificat AAA.
Hole196Edit
Hole196 est une vulnérabilité du protocole WPA2 qui abuse de la clé temporelle de groupe partagée (GTK). Il peut être utilisé pour mener des attaques d’homme du milieu et de déni de service. Cependant, il suppose que l’attaquant est déjà authentifié contre le point d’accès et donc en possession du GTK.
Édition de la clé temporelle de groupe prévisible (GTK)
En 2016, il a été démontré que les normes WPA et WPA2 contiennent un générateur de nombres aléatoires expositoires non sécurisé (RNG). Les chercheurs ont montré que, si les fournisseurs implémentent le RNG proposé, un attaquant est capable de prédire la clé de groupe (GTK) qui est censée être générée aléatoirement par le point d’accès (AP). En outre, ils ont montré que la possession du GTK permettait à l’attaquant d’injecter n’importe quel trafic dans le réseau et lui permettait de déchiffrer le trafic Internet monodiffusion transmis sur le réseau sans fil. Ils ont démontré leur attaque contre un routeur Asus RT-AC51U qui utilise les pilotes hors arborescence MediaTek, qui génèrent eux-mêmes le GTK, et ont montré que le GTK peut être récupéré en deux minutes ou moins. De même, ils ont démontré que les clés générées par les démons d’accès Broadcom fonctionnant sur VxWorks 5 et versions ultérieures peuvent être récupérées en quatre minutes ou moins, ce qui affecte, par exemple, certaines versions de Linksys WRT54G et certains modèles Apple AirPort Extreme. Les vendeurs peuvent se défendre contre cette attaque en utilisant un RNG sécurisé. Ce faisant, Hostapd fonctionnant sur des noyaux Linux n’est pas vulnérable à cette attaque et les routeurs exécutant des installations OpenWRT ou LEDE typiques ne présentent donc pas ce problème.
Attaque KRACKEDIT
En octobre 2017, les détails de l’attaque KRACK (Key Reinstallation Attack) sur WPA2 ont été publiés. On pense que l’attaque KRACK affecte toutes les variantes de WPA et WPA2 ; cependant, les implications en matière de sécurité varient d’une implémentation à l’autre, en fonction de la façon dont les développeurs individuels ont interprété une partie mal spécifiée de la norme. Les correctifs logiciels peuvent résoudre la vulnérabilité, mais ne sont pas disponibles pour tous les appareils.
Dragonblood attackEdit
En avril 2019, de graves défauts de conception de WPA3 ont été trouvés qui permettent aux attaquants d’effectuer des attaques de rétrogradation et des attaques par canal latéral, ce qui permet de forcer brutalement la phrase secrète, ainsi que de lancer des attaques par déni de service sur les stations de base Wi-Fi.