Vulnérabilité KRACK dans WPA2 (Octobre 2017)
  1. Home /
  2. informations Alerte

Vulnérabilité KRACK dans WPA2 (Octobre 2017)

Posted on Alerte

Nature de la vulnérabilité

En octobre 2017, des chercheurs en cybersécurité ont découvert une faille majeure dans le protocole WPA2, nommée KRACK (Key Reinstallation Attack). Cette attaque exploite une faille de conception dans le processus d’établissement de la clé de chiffrement, permettant à un attaquant d’intercepter ou de manipuler les données transitant entre un appareil et un point d’accès Wi-Fi.

Appareils concernés

  • Tous les appareils utilisant le Wi-Fi avec WPA2 (PC, smartphones, tablettes, objets connectés).
  • Certains routeurs et points d’accès peuvent aussi être vulnérables dans des configurations spécifiques.

Conditions d’exploitation

  • L’attaquant doit être à portée du réseau Wi-Fi (pas d’attaque possible à distance via Internet).
  • Les données non chiffrées (HTTP, FTP, etc.) peuvent être lues ou modifiées.

Protections existantes

HTTPS/TLS : Les connexions chiffrées (sites bancaires, Gmail, VPN) restent sécurisées.
Chiffrement des e-mails (SMTP/IMAP/POP3 avec TLS) : Les clients mail configurés correctement ne sont pas exposés.

Quels appareils clients sans fil peuvent être affectés ?
En plus des appareils les plus évidents mentionnés précédemment (ordinateurs portables, téléphones et tablettes), tous les périphériques sans fil connectés en tant que clients à un point d’accès Wi-Fi sont concernés, notamment :

  • Ordinateurs portables (Windows, macOS, Linux, etc.)
  • Téléphones (iOS, Android, etc.)
  • Tablettes (iPad, Microsoft Surface, Android, etc.)
  • Liseuses électroniques (Kindle, Nook, etc.)
  • Imprimantes
  • Appareils IoT (objets connectés)
  • Assistants personnels intelligents (Amazon Echo/Dot/Alexa, Google Home, Apple HomePod)
  • Domotique (systèmes d’entrée, éclairage, chauffage/climatisation, thermostats, etc.)
  • Divertissement domestique (téléviseurs, systèmes audio, consoles de jeux, serveurs multimédias)
  • Appareils électroménagers connectés
  • Répéteurs ou ponts sans fil
  • Routeurs utilisant le Wi-Fi comme source de connectivité Internet
  • Caméras IP Wi-Fi (vidéosurveillance) ou babyphones sans fil
  • Véhicules connectés (voitures)
  • Tout autre appareil client utilisant WPA2

Tous ces appareils peuvent nécessiter une mise à jour pour corriger la vulnérabilité. Il n’existe pas de protocole plus récent que WPA2 pour le remplacer, et les anciens protocoles (WPA, WEP) sont considérés comme obsolètes.

Produits DrayTek

Veuillez lire cette section attentivement pour comprendre le contexte complet.

  • Si vous utilisez un produit sans fil DrayTek (routeur ou point d’accès) uniquement comme borne Wi-Fi (pour fournir une connexion sans fil à vos appareils portables) ou en mode WDS, alors il n’est pas vulnérable à KRACK. Une mise à jour n’est donc pas nécessaire dans ce cas (mais il est toujours recommandé de maintenir le firmware à jour).
  • Si vous utilisez un point d’accès DrayTek (série VigorAP) en mode Répéteur Universel, mode Station ou avec une connexion WAN sans fil, vous devez mettre à jour le firmware pour vous protéger contre KRACK. Consultez la section ci-dessous pour les versions concernées.

⚠️ Même si votre routeur ou point d’accès n’est pas vulnérable, vos appareils clients (Wi-Fi) le sont presque certainement. Recherchez une mise à jour auprès du fabricant (consultez son site web ou contactez le support).

Atténuation des risques pour les clients non corrigés

Si vous ne pouvez pas mettre à jour vos appareils clients ou si des appareils non patchés sont utilisés sur votre réseau, vous pouvez atténuer la vulnérabilité en désactivant les retransmissions EAPOLsur le routeur/point d’accès. Cependant, cette solution n’est pas conforme à la norme WPA2 et peut ralentir l’authentification sur les réseaux encombrés. De plus, l’appareil restera vulnérable sur d’autres réseaux. La meilleure solution reste la mise à jour du firmware de l’appareil client.

Vérifiez auprès du fabricant si votre point d’accès ou routeur permet de désactiver les retransmissions EAPOL.

Firmwares mis à jour

DrayTek a déjà publié de nouvelles versions de firmware. Les versions corrigées sont les suivantes :

Routeurs avec support WAN sans fil

  • Vigor 2862 → v3.8.7
  • Vigor 2860 → v3.8.5.1
  • Vigor 2830v2 → v3.8.1.3
  • Vigor 2925 → v3.8.5
  • Vigor 2926 → v3.8.7

Points d’accès DrayTek en mode Répéteur Universel ou Station

  • VigorAP 910c → v1.2.3.1
  • VigorAP 900 → v1.2.1.1
  • VigorAP 902 → v1.2.3
  • VigorAP 810 → v1.2.3
  • VigorAP 710 → v1.2.3
  • VigorAP 800 → v1.1.6.2

Cette liste sera mise à jour si de nouvelles informations sont disponibles.

⚠️ Les versions non sans fil des routeurs mentionnés ne sont pas concernées, mais il est toujours conseillé de maintenir leur firmware à jour.

Conseils pour les autres produits (non DrayTek)

Consultez les avis et mises à jour publiés par les fabricants de vos équipements réseau et appareils sans fil, puis suivez leurs recommandations. Vérifiez particulièrement les appareils de la liste en haut de cette page.

Même si votre routeur ou point d’accès DrayTek n’est pas vulnérable, vos appareils clients (voir la liste) le sont probablement. Recherchez des mises à jour auprès de leurs fabricants. Pour les anciens appareils non supportés, envisagez leur remplacement ou d’autres mesures de mitigation.

Recommandation générale

Même si votre matériel n’est pas concerné par cette faille, maintenez toujours vos produits à jouravec les derniers firmwares pour bénéficier d’améliorations de sécurité et de fonctionnalités.

Related posts

Vulnérabilités de Buffer Overflow – Message de sécurité (CVE-2024-51138 CVE-2024-51139)

Posted on

Vulnérabilités par déni de service, divulgation d’informations et exécution de code | 1104

Posted on

Vulnérabilité Apache Log4j

Posted on
0

TOP