Le WPA2 fait beaucoup parler de lui en ce moment, et pas forcément en bien. Des chercheurs en sécurité ont en effet découvert une nouvelle faille critique sur le protocole, une faille rendant vulnérables la plupart des équipements connectés.
Le WPA2, aussi connu sous le nom de IEEE 802.11i-2004, n’est pas récent et il a ainsi commencé à être pris en charge par nos systèmes d’exploitation en 2005, à une époque où l’on parlait encore du “Web 2.0”.
Depuis, il s’est considérablement imposé sur le marché et le protocole est ainsi intégré à tous les routeurs vendus depuis 2006.
Le WPA2 victime d’une vilaine faille
Comme indiqué un peu plus haut, des chercheurs en sécurité ont donc trouvé un moyen de casser le chiffrement du protocole en s’appuyant sur plusieurs failles de sécurité.
Pour le moment, les détails techniques n’ont pas été communiqués, mais l’US Cert a lancé une alerte ce matin auprès d’une centaine d’organisations différentes. D’après les explications fournies, le problème se situerait au niveau du processus de négociation automatisé, soit du “4-way handshake”.
Grâce à une faille critique, les chercheurs ont en effet réussi à casser ce processus et à prendre ainsi le contrôle intégral de la connexion WiFi de leur routeur de test. D’après le rapport transmis, une personne mal intentionnée serait tout à fait en mesure d’exploiter cette faille pour récupérer les paquets transitant par un routeur ou même pour envoyer et diffuser des requêtes HTTP sur les équipements connectés.
L’heure est grave, donc, d’autant que le WiFi s’est considérablement démocratisé en l’espace de cette dernière décennie. Pire, nos ordinateurs et nos téléphones ne sont pas les seuls à exploiter cette technologie et à utiliser le WPA2 pour sécuriser les échanges de données.
Tous les équipements sont concernés
Les équipements connectés en font effectivement de même de leur côté.
Les chercheurs ont refusé de donner plus de détails pour le moment, mais ils ont promis de revenir sur cette faille et ses implications un peu plus tard dans la journée.
En attendant, ils ont ouvert un site consacré à leurs travaux, un site accessible dès à présent à cette adresse. Pour le reste, eh bien les chercheurs ont aussi prévu de présenter le fruit de leurs analyses aux conférences ACM et BlackHat Europe en novembre et en décembre prochain.
Bien sûr, toutes les failles peuvent être patchées, mais il faudra sans doute du temps avant que tous les constructeurs ne déploient un correctif. Et ça, bien sûr, c’est en supposant qu’ils le fassent tous, ce qui n’est franchement pas garanti malheureusement.
