lundi 6 novembre 2017

Point sur la faille WPA2

Faille sur la clé de cryptage wifi WPA2

Faut-il s'inquiéter?!


Oui et non :

La clé de cryptage wifi WPA2 est massivement utilisée, par nos boxes de FAI par exemple.
Cette clé, activée par défaut dans la majorité des appareils wifi était jusqu'à présent considérée comme sure.

Malheureusement une faille a été découverte dans ce système de protection de votre connexion et des données y transitant. Mais il n'y a pas lieu de paniquer, enfin pas tout de suite.

Que permet la faille ?

Cette faille permet à une personne malintentionnée d'écouter le trafic transitant par votre wifi.
Il peut ainsi récupérer les paquets de données et les décrypter afin d'en lire le contenu.

Il faut paniquer alors ?

Ben non en fait, car cela ne permet en aucun cas à une personne de se connecter à votre wifi mais seulement de l'écouter. Comme si quelqu'un pouvait se brancher sur votre ligne téléphonique pour écouter vos conversation mais sans pouvoir utiliser la ligne pour passer des appels.

Mais il va pouvoir récupérer mes mots de passe, mon compte en banque, mail, etc!!!

Ben non plus, car tous ces sites utilisent le protocole HTTPS qui permet de crypter (avec une autre clé et un système de cryptage différent) toutes les informations qui transitent du navigateur jusqu'au serveur de la banque, du fournisseur de mails, etc...
On reconnait ces sites au petit cadenas qui apparait dans un coin et l'adresse internet au lieu de commencer par "http://" débute par "https://".

On reprend l'exemple du téléphone : Le mec écoute votre conversation mais vous parlez dans une langue qu'il ne peut pas comprendre. Par contre il sait à qui vous vous adressez...

Mais tous les sites n'utilisent pas https...

Non, en effet. Beaucoup de sites ne l'utilise pas tant que vous n'avez pas à vous identifier. La majorité sont des sites de consultation simple sur lesquels vous n'avez pas d'interaction. Le pirate verra que vous consultez tel ou tel site, qu'il soit crypté ou non mais, grâce au https, il ne pourra pas obtenir vos identifiants et mots de passes afin de se faire passer pour vous ou de vous voler argent et informations.

Comment se protéger ?


J'ai trois méthodes à vous proposer. Une très simple mais incomplète, une seconde simple et très efficace et une seconde bien plus complexe qui nécessitera d'autres articles... (au moins 2)

Solution 1 : Le plugin Firefox HTTPS Everywhere :

Désolé pour ceux qui utilisent d'autres navigateurs que Firefox mais c'est celui que j'aime et utilise au quotidien...

A savoir que certains sites existent en mode normal http et en mode crypté https mais propose la version non protégée par défaut. HTTPS Everywhere va se charger, pour vous, de forcer les sites le proposant à passer par défaut en mode protégé.

Alors ça ne protège pas sur tous les sites, mais ceux sensible ont en général une version protégée, et ça n'empêchera pas le pirate de savoir quels sites vous visitez... Mais au moins vos mots de passes, informations sensibles et argent sont protégés.

Solution 2 : Utiliser un VPN :

Le VPN c'est un réseau virtuel protégé (Virtual Private Network).

Vous pouvez connecter votre ordinateur à ce réseau créant un tunnel crypté entre l'ordinateur et internet.
Là, seul le gestionnaire du VPN peut écouter ce qui transite et du coup connaitre l'historique de navigation.

Il y a plusieurs solutions pour utiliser un VPN.

  1. Se connecter auprès d'un prestataire de service. Pour ma part, j'apprécie et utilise IPjetable qui coute tout de fois 15€ pour 3 mois. Un petit article, qui traite de VPN, que j'ai écris et qui peut vous intéresser à lire ici.

  2. Utiliser le navigateur TOrbrowser. En utilisant ce navigateur vous utiliserez le réseau TOR. Personne ne saura ce que vous visitez car tout est crypté en plusieurs couchez. Par contre pas mal de sites n'apprécient pas et risque de vous interdire leur accès... Dommage c'était simple et très efficace.

  3. Créer son propre serveur VPN et s'y connecter. Là vos données sont protégées jusqu'au serveur. Si lui est branché à votre box par fil, seul votre opérateur pourra vous écouter. Par contre, mettre en place un serveur VPN n'est pas à la portée de tous...
Pour l'instant pas de solution miracle mais un risque faible.

Mais en fait, qui peut attaquer mon wifi et me surveiller ?

Pas grand monde en fait. Pour l'instant, il faut être un crack en informatique pour exploiter la faille. Il est peu probable que Kevin, le fils de voisins de 16ans, boutonneux et fan d'informatique puisse vous espionner. Et encore, s'il le faisait, il s'ennuierait vite.

Toutefois, il est envisageable que des distributions dédiées aux "audits de sécurité" tel Kali Linux se mettent à jour rapidement et offrent à tous les outils nécessaires à un tel espionnage.

Quand cette faille sera-t-elle corrigée?

Selon votre matériel, il peut s'agir de jamais comme "dans quelques temps".

Les opérateurs seront certainement les premiers à corriger la faille sur leurs box.

Certains matériels ont déjà été corrigés, avant même que la faille ne soit annoncée publiquement. Mais il s'agit d'appareils récents.

Malheureusement, pour qu'elle ne soit pas exploitable, la faille doit être corrigé sur les deux appareils communiquant en wifi. Ainsi, à cause de leur politique de mise à jour à deux balles, il y a de fortes chances que votre smartphone soit vulnérable jusqu'à la fin de ses jours... Seuls les smartphones récents et généralement hauts de gammes bénéficies de mises à jours... pendant quelques temps.

Qui a parlé d'obsolescence programmée !?

Pour ce qui est des PC, c'est la même chose. Il faut que le pilote soit mis à jour. Hors si le PC date un peu, il y a de fortes chances que le fabriquant ne prenne pas la peine de corriger le problème... sous Windows. Linux étant libre, en général, les pilotes le sont aussi et sont maintenues par la communauté. Ce système devrait corriger le problème avec le temps... sur pas mal de matériels mais pas tous. Et oui, il faut qu'un membre de la communauté prenne la peine de revoir le pilote qui vous intéresse pour que ce soit fait...

Si comme moi, vous utilisez un routeur personnel à la place de la box, le problème reste identique. Pas de correction avant son remplacement, ou comme moi, utilisation d'un firmware alternatif qui lui est mis à jours régulièrement et corrigera surement la faille rapidement.

Conclusion :

Pas de solution miracle pour ce problème mais des petites solutions envisageables pour se couvrir :

Utilisez autant que possible une connexion avec un câble Ethernet. Évitez aussi le CPL qui s'avère être faillible aussi...

Si le Wifi vous est indispensable, privilégiez les sites en HTTPS, au moins le pirate potentiel ne pourra pas en tirer d'informations primordiales. Sous Firefox, HTTPS Everywhere vous facilitera la vie.

Aucun commentaire:

Enregistrer un commentaire