« Krack Attack » : La faille de sécurité qui menace vos données personnelles

Le 16 octobre 2017, le « Krack Attack1 » a remis en question la sécurité de nos appareils et de nos données personnelles. Avec l’apparition et le développement rapide d’objets connectés tels que les home-box, la menace n’en est que plus importante.

Qu’est-ce que les Krack Attack ?

Une faille du WPA2

Découvert par le chercheur en sécurité Mathy Vanhoef, Krack Attack est une faille de sécurité du protocole WPA2 du Wi-Fi, plus précisément du processus automatisé de négociation, appelée « 4-way handshake ». L’attaque se réalise à la troisième étape du protocole et consiste à forcer un appareil à réinstaller une clé de cryptage nulle, plutôt que la clé réelle.

Une connexion au Wi-Fi avec le 4-way handshake

Procédé du Krack Attack

Selon Mathy Vanhoef, cette attaque fonctionnerait sur tous les réseaux Wi-Fi modernes et touche par conséquent tout appareil Android, Linux, Apple, Windows ou autres. Toutefois, un pirate doit se tenir à portée du réseau Wi-Fi pour réaliser cette attaque.

Les dangers que cette faille représente

Créé en 2004, le protocole WPA2 était jusqu’ici le mieux à même de protéger les connexions sans fil entre un point d’accès internet et vos appareils. Or, cette faille permettrait à un individu de déchiffrer des données sensibles tels que les mots de passe, les mails ou les codes bancaires, de prendre le contrôle de connexions TCP, ou d’injecter des programmes malveillants. Une démonstration réalisée par le chercheur sur un smartphone Android montre que le pirate peut décrypter toutes les données que l’appareil envoie, dans ce cas-là, un identifiant et un mot de passe.

Démonstration d’un krack attack réalisé sur un smartphone Android réalisée par Mathy Vanhoef. Il y montre comment un pirate procèderait pour récupérer les identifiants d’une personne se connectant sur le site de rencontre Match.

Les sites web avec un certificat HTTPS ne seraient pas une solution efficace face à cette attaque, car il est possible de forcer un site mal configuré à transmettre en HTTP à l’aide d’un script, comme c’est le cas dans cette démonstration.

 

Une menace qui pèse sur les home-box et les assistants virtuels

Un développement important des assistants virtuels

Le Wi-Fi est omniprésent dans notre quotidien, et le développement rapide des objets connectés, notamment des home-box, nous amène à nous poser des questions sur la protection de nos données.

2017 a été une année décisive pour les assistants virtuels tels que les home-box. On remarque par exemple qu’Alexa, développé par Amazon, était omniprésent au Consumer Electronics Show de Las Vegas. Des montres aux frigos connectés, de nombreuses technologies destinées à faciliter notre quotidien prennent ainsi place dans nos maisons ou notre bureau.

La firme de recherche en technologie Gartner va jusqu’à prédire que d’ici 2019, 20% de toutes les interactions humaines avec les smartphones impliquera l’utilisation d’assistants virtuels personnels, par le biais d’une reconnaissance vocale. De plus, selon un sondage réalisé par Conversia auprès de mille américains, 52 % des personnes interrogées pensaient que l’utilisation d’un assistant virtuel au travail les aiderait à être plus productifs. Les plus jeunes se montrent aussi plus enthousiastes à cet usage.

Des technologies également très présentes en France

On constate que le même engouement pour les home-box et autres assistants virtuels est présent en France en voyant des compagnies comme Orange lancer l’assistant Djingo pour les entreprises, ou Atos avec l’Atos Virtual Assistant et son « machine-learning ». Ainsi, on peut se demander que deviendraient toutes les données relatives à la vie privée d’une personne, voire des informations sensibles d’une entreprise, en tenant compte du Krack Attack. Il faut donc s’intéresser aux mesures qui sont prises par les concepteurs et prendre de bonnes habitudes d’utilisation de nos appareils pour s’en protéger.

Les mesures prises face au Krack Attack

La première chose à faire pour se protéger de ces attaques est d’installer les dernières mises à jour sur vos appareils. En attendant ces patchs de sécurité, il est conseillé d’utiliser si possible une prise Ethernet. Il est également recommandé d’utiliser des techniques de chiffrement alternatives, tel que le VPN (Virtual Private Network) pour préserver ses données numériques.

Avons-nous besoin d’un WPA3 ? D’après Mathy Vanhoef, cela n’est pas nécessaire. En effet, un appareil client qui a été mis à jour peut toujours communiquer avec un point d’accès non-patché, et inversement. Ainsi, les mises à jour permettent de s’assurer que la clé de cryptage n’est installée qu’une seule fois.

 

1 Key Reinstallation AttaCKs

 

 

 

 

Anaïs Kamionka

Sources :

https://www.krackattacks.com/

http://www.01net.com/actualites/krack-attacks-le-chiffrement-wpa2-du-wi-fi-a-ete-casse-1278847.html

https://arstechnica.com/information-technology/2017/10/severe-flaw-in-wpa2-protocol-leaves-wi-fi-traffic-open-to-eavesdropping/

https://www.cnet.com/news/krack-wi-fi-attack-patch-how-microsoft-apple-google-responding/

https://akerva.com/actualite/krack-attack-vulnerabilites-wpa2/

https://www.nbcnews.com/tech/tech-news/krack-attack-security-flaw-puts-every-wi-fi-connection-risk-n811001

http://www.capitaine-commerce.com/2017/08/08/50015-assistants-intelligents-rendre-vie-plus-facile/

https://www.fastcompany.com/3066831/its-on-2017-is-the-year-the-virtual-assistant-wars-get-real

http://www.ipwatchdog.com/2017/05/06/intelligent-virtual-assistant-develop-ai-tech/id=82837/

https://finance.yahoo.com/news/americans-artificial-intelligence-increase-productivity-120000480.html

http://www.ipwatchdog.com/2017/02/23/intelligent-virtual-assistants-human-interactions-smartphones/id=78283/

 

Menu Principal