[ALERTE CERT] Vulnérabilité protocolaire sur WPA2

Olivier Chatail Alerte CERT

De nombreuses vulnérabilités ont été identifiées récemment dans le standard sans fil WPA2 par Mathy Vanhoef de l’université Belge KU Leuven :

  • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the 4-way handshake.
  • CVE-2017-13078: Reinstallation of the group key (GTK) in the 4-way handshake.
  • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the 4-way handshake.
  • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
  • CVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
  • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
  • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
  • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake.
  • CVE-2017-13087: reinstallation of the group key (GTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.
  • CVE-2017-13088: reinstallation of the integrity group key (IGTK) when processing a Wireless Network Management (WNM) Sleep Mode Response frame.

Ces vulnérabilités ont été trouvées dans le standard lui-même et sont donc applicables à toutes les variantes de WPA/WPA2 (personal, enterprise).

Tous les équipements WiFi basés sur WPA/WPA2 sont potentiellement vulnérables.

 Attaques et impacts

L’algorithme de chiffrement utilisé avec WPA2 ne protège pas contre cette attaque, WPA-TKIP, AES-CCMP et GCMP sont donc affectés par cette annonce.

Cependant il a été démontré que les impacts de ces vulnérabilités sont plus forts avec WPA-TKIP et GCMP qu’avec AES-CCMP.

Les attaques se basant sur ces vulnérabilités ciblent les clients des réseaux WPA/WPA2 sans connaissance de la clef et permettent le déchiffrement, le rejeu et la création de paquets arbitraires.

Ces impacts sont dépendants, en plus de l’algorithme de chiffrement utilisé, des systèmes d’exploitation ciblés, les cibles les plus exposées aujourd’hui sont Linux et Android, car utilisateurs du client réseau wpa_supplicant  (des versions 2.4 à 2.6).

Le risque associé à ces versions de wpa_supplicant est critique et peut entraîner la compromission totale et l’interception des communications (attaque Man in the Middle illustrée en vidéo par l’auteur de la publication originale).

Windows et iOS ne sont aujourd’hui ciblés que par des variantes à impact faible du fait de leur implémentation non standard de WPA/WPA2.

Il est important de noter que ces vulnérabilités ne permettent pas de récupérer la passphrase.

Aucun outil d’exploitation n’a été publié à ce jour, la publication fera l’objet d’une présentation le 1er Novembre 2017 à la conférence Computer and Communications Security.

Recommandations

Ces vulnérabilités n’annoncent pas la fin de WPA2, contrairement aux faiblesses trouvées dans le protocole WEP il y a quelques années, elles sont corrigeables sur les clients et points d’accès et ne nécessitent pas de changement au niveau infrastructure.

Les différents fournisseurs d’équipement WiFi ont été prévenus par l’auteur de l’article avant publication des détails de sa découverte, il est donc recommandé de mettre à jour tous les périphériques WiFi dès que possible.

Références

https://www.krackattacks.com/

https://papers.mathyvanhoef.com/ccs2017.pdf