Breadcrumb

Avis d'experts

 

Lundi 16 octobre, l’un des centres gouvernementaux de veille (CERT) a donné l’alerte concernant plusieurs vulnérabilités dans les méthodes d’authentification Wifi, plus précisément dans les protocoles WPA/WPA2. Ces failles touchent l’ensemble des infrastructures et terminaux.

Nos experts font le point sur cette nouvelle alerte de sécurité et les mesures à mettre en œuvre pour éviter des attaques de type KRACK (Key Reinstallation attaCKs – KRACKs).

 

L’analyse : une faille qui permet l’usurpation transparente d’un Wifi « sécurisé »

La faille révélée en début de semaine permet à des utilisateurs malveillants d’usurper de manière transparente (sans que l’utilisateur s’en aperçoive) un réseau Wifi existant « sécurisé » et déjà connu du terminal. Concrètement, les vulnérabilités de type KRACK permettent à un attaquant de décrypter les communications chiffrées entre un terminal et l’AP (Access Point) Wifi.

Lorsqu’un terminal se connecte à un réseau Wifi usurpé, il est possible de :

  • Voir tous les flux non chiffrés (Applications, Internet, …) et ainsi de récupérer des mots de passe et autres informations personnelles ;
  • Tenter d’autres types d’attaques, notamment retirer le chiffrement des communications chiffrées

 

Le risque : une faille qui touche l’ensemble des terminaux

Cette faille Wifi touche l’ensemble des infrastructures et terminaux. Plus précisément pour les terminaux mobiles, 100% du parc iOS et 50% du parc Android sont vulnérables. Pour Android, la faille touche en effet uniquement les terminaux les plus récents : versions 6.0 et supérieures. Pour iOS, la faille existe, mais elle est plus complexe à exploiter :il n’est pas possible de réinitialiser la clé de chiffrement WPA.

Les éditeurs ont d’ores et déjà réagi :

  • Apple a développé le Patch de sécurité qui est au stade Beta3. Il fera partie de la release iOS 11.1 dont la sortie est proche mais la date non communiqué La mise à disposition d’un Patch pour les terminaux ne supportant pas iOS 11 n’a pas été confirmée.
  • Pour Android, Google a intégré son correctif au Patch de sécurité Android du 6 novembre prochain. Ce patch devra être intégré par chaque constructeurs puis déployé pour mise à disposition des utilisateurs.
  • De son côté, Microsoft a déjà déployé les Patch pour Windows 7, 8, 8.1 et 10. Les Patch de sécurité PC doivent maintenant être appliqué

Les données restent sécurisées tant quelles transitent via un EMM (Entreprise Mobility Management), à condition qu’il s’agisse d’une solution EMM « Leader » (MobileIron, Airwatch ou IBM Maas 360). Ces solutions assurent en effet le surchiffrement des données lors de la communication, ce qui n’est pas le cas par défaut pour SOTI, Intune, Google EMM, pour lesquelles il est nécessaire de déployer un VPN supplémentaire sur le terminal.

Les données ne transitant pas via un EMM ou un VPN chiffré peuvent être exposées, notamment via les applications des Stores ou les sites Internet ; à moins que ceux-ci garantissent eux-mêmes le chiffrement de leurs données.

Même en présence d’un EMM, il reste donc un risque résiduel sur les données non « tunnelisées ».

 

Les mesures à mettre en œuvre

Mesures de contournement :

  • Désactiver le Wifi et privilégier les connexions 3G/4G
  • Utiliser les accès « tunnelisés » et/ou les conteneurs EMM
  • A défaut d’une solution EMM chiffrant les flux réseaux, utiliser un VPN pour garantir le chiffrement
  • Dans le cas de connexions Internet via le Wifi, vérifier que les communications avec les serveurs restent chiffrées en HTTPS (icone « Locket », cadenas en haut à gauche des navigateurs)
  • Mettre en place une solution de Mobile Threat Defense (MTD) sur les terminaux mobiles afin de détecter immédiatement les attaques de type Man-In-The-Middel (MITM) telles que KRACK.

NB : en matière de sécurité mobile, les solutions EMM constituent une première réponse, indispensable, mais insuffisante. Les solutions spécialisées de Mobile Threat Defense comme Lookout, Zimperium ou Wandera sont conçues pour prévoir et détecter diverses formes d’attaques, en particulier celles de type MITM.

Mesures correctives :

  • Appliquer les Patchs de sécurité dès que ceux-ci seront mis à disposition par les constructeurs
  • Suivre le déploiement du Patch en production afin d’identifier la surface d’exposition résiduelle
  • Comment contrôler la version de Patch :
    • Sur iOS : vérifier la montée de version en iOS 11.1 dans Réglages > Général > informations
    • Sur Android : vérifier la version de correctif de sécurité Android dans Paramètres > A Propos du Téléphone > Niveau de correctif de sécurité Android (il devra être postérieur ou égal au 6 novembre 2017)

Enrique Lopez

Enrique est Directeur Technique au sein de Digital Dimension et enseignant en Stratégies Mobiles à CentraleSupelec Executive Education. Il a passé ces 15 dernières années dans la direction technique de projets d’Intégration de Systèmes mobiles.

Voir tous ses articles