Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Après WEP, faiblesse permettant de casser partiellement WPA

Après WEP, faiblesse permettant de casser partiellement WPA
2008-11-192013-02-11sécurité des réseauxfr
Il y a quelques jours, une annonce dans les mailing-lists 'underground' a fait grand bruit car elle indiquait que WPA n'était plus fiable comme système de protection de la confidentialité d'un accès WiFi. Nous savions déjà que WEP (Wired Equivalent Privacy), par la faiblesse de son...
Publié le 19 Novembre 2008 par Blogger Anonymous dans sécurité des réseaux

Il y a quelques jours, une annonce dans les mailing-lists 'underground' a fait grand bruit car elle indiquait que WPA n'était plus fiable comme système de protection de la confidentialité d'un accès WiFi.

Nous savions déjà que WEP (Wired Equivalent Privacy), par la faiblesse de son algorithme, permet le décodage de l'IV (Initialization Vector) et, après avoir capturé une grande quantité de paquets particuliers entre une session valide en cours et le hot spot Wi-fi, de déduire la clé WEP et ainsi d'accéder au hotspot. Une grande partie du succès de cette technique reposait sur le fait que le point d'accès répondait systématiquement à tout paquet sans limite de quantité, permettant ainsi une meilleure efficacité avec l'augmentation des vitesses des points d'accès.

Heureusement, il restait encore WPA (WiFi Protected Access) comme protection. WPA repose lui sur la qualité de la PSK (Pre-Shared Key), sorte de clé/mot de passe que le client et le serveur doit connaitre pour pouvoir dialoguer.

Cette clé n'était alors cassable que par les méthodes traditionnelles d'attaque par force brutale (essai itératif de chaque possibilité jusqu'à obtention de la bonne), ce qui pouvait prendre des centaines d'années au regard du nombre de possibilités liées à la taille de cette clé WPA, et ceci même en s'appuyant sur des processeurs graphiques NVidia, contrairement à ce que laissait entendre une récente annonce de la société ElcomSoft qui vend cette technique.

C'en est maintenant fini avec WPA suite à la découverte des chercheurs Erik Tews et Martin Beck, qui ont trouvé une faiblesse au niveau de TKIP (Temporal Key Integrity Protocol). Cette faiblesse a été expliquée pendant la conférence PacSec qui s'est déroulée à Tokyo les 12 et 13 novembre 2008.

TKIP ajoute par rapport à WEP une seconde couche d'intégrité au travers d'un Message Integrity Code (MIC), également appelé Michael, qui s'appuie sur un checksum qui est en plus chiffré. En effet, la faiblesse principale de WEP était la faiblesse de l'algorithme utilisé pour générer le checksum.

De plus, la technique d'attaque WEP basée sur la modification d'un paquet et le renvoi massif vers le point d'accès qui répondra systématiquement, avait bien été apprise par Michael qui, lui, place un délai de réponse afin de ralentir l'efficacité de ce type de technique. Ainsi, lors de la réception de deux paquets avec un mauvais checksum, Michael attend 60 secondes avant de demander la renégociation d'un nouvelle clé avec le point d'accès, remettant la tentative à zéro.

Mais cette nouvelle faiblesse découle de la manière dont a été architecturé WPA, à savoir en s'appuyant sur WEP plutôt que par une implémentation a partir de zéro. Ainsi, TKIP se met en place après le WEP et le code Michael est contenu dans le paquet WEP facilement décodable, ce qui débouche sur le succès de cette nouvelle technique.

Cette nouvelle technique ne nécessite de capturer qu'un seul paquet, d'y faire de modifications mineures afin que son checksum soit affecté, puis d'analyser la réponse du point d'accès lorsqu'il reçoit ce paquet. Elle est particulièrement efficace avec les paquets ARP car le contenu de ceux-ci est connu, hormis les deux octets de l'adresse IP. Les autres octets étant huit octets pour le code Michael et quatre pour le checksum ICV. Il suffit alors de déduire ces deux octets par l'envoi d'un paquet toutes les soixante secondes, ce qui prend au total entre douze et quinze minutes pour toutes les possibilités.

Mais il ne faut pas paranoier. Ici, le risque reste encore faible et la rémédiation simple. Il suffit en effet de forcer la renégociation des clés toutes les deux minutes pour que l'attaque ne dispose plus du temps matériel pour réussir.

Dans cet article, le sujet a été très simplifié. Les puristes de la technique pourront avoir le détail complet de la technique utilisée sur en lisant le document "Practical attacks against WEP and WPA", de Martin Beck, TU-Dresden, Germany et  Erik Tews, TU-Darmstadt, Germany - November 8, 2008.

4 Commentaires

  • 8 Avril 2009
    2009-04-08
    par
    Laurent Levier
    Bonjour,

    Je ne sais pas répondre si la livebox x ou y supporte la faille, malheureusement.
    Cependant, il est clair que la faille provient de TKIP qui est supporté dans WPA pour des raisons de "compatibilité hardware descendante". C'est l'unique raison de la faiblesse.
    Avec WPA qui fonctionne en AES-CCMP, la faille disparait.
  • 8 Avril 2009
    2009-04-08
    par
    Il me semblait que les Livebox Sagem et suivantes supportaient le chiffrement AES sur WPA, configuration qui n'est pas vulnérable à cette faille ?

    Cf. http://liveboxsagem11.centerblog.net/6571387-Protection-des-echanges-sur...
  • 21 Novembre 2008
    2009-04-08
    par
    Bonjour,

    L'entité R&D de France Télécom a déjà émis un document dans lequel la technique présentée succinctement ici est expliquée en profondeur, ainsi que les conséquences de son utilisation.

    Ce document a été déjà traité par la Direction de la Sécurité qui a évalué les risques associés et fait les recommandations.
    Enfin, ces recommandations ont été envoyées à toutes les équipes d'ingénierie concernées, incluant celle de la Livebox.

    Cependant, il faut garder à l'esprit que WPA2 n'est pas encore nécessaire pour cette faiblesse. En effet, la réduction de la durée de vie de la clé, à 2 minutes par exemple, suffit à rendre cette technique inopérante.

    De plus, il faut également savoir que WPA2, basé sur l'algorithme de chiffrement AES, est très gourmand en processeur et par conséquent il lui faut une unité de calcul dédiée, autrement dit, un nouveau hardware Livebox dans notre cas.
    Si le département Livebox décide d'initier cette approche de mise à jour matériel, il faudra encore que le nouveau hardware soit construit et testé. Sans avoir de réponse officielle, je doute que ce soit pour 2008.
  • 19 Novembre 2008
    2009-04-08
    par
    Mickael
    A quand le wpa2 sur la livebox?

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage