Le protocole WiFi Protected Setup (WPS) permet aux utilisateurs de ne pas entrer de clé PIN à chaque fois qu'ils veulent connecter un appareil à un réseau WiFi. Mais un défaut de conception dans la configuration du WPS pourrait faciliter la tâche à des attaquants en leur permettant de trouver plus rapidement les codes d'accès à un réseau sans fil sécurisé et de mener une attaque par force brute.

Cette vulnérabilité, identifiée par le chercheur en sécurité Stefan Viehbock, affecterait un grand nombre de routeurs et de points d'accès sans fil intégrant le protocole WPS. Créée en 2007 par la WiFi Alliance, la norme avait pour but de fournir à des utilisateurs non spécialisés une méthode simple de mettre en place des réseaux sans fil.

Un code PIN à huit chiffres

Le WPS offre plusieurs méthodes d'authentification, dont l'une consiste à appuyer simplement sur un bouton physique situé sur le routeur et une autre demande d'entrer un code PIN prédéfini, collé sur le périphérique par le fabricant. La méthode du code PIN est obligatoire pour obtenir la certification des périphériques WPS, et donc tous les appareils WPS la proposent par défaut. Mais des périphériques WPS non certifiés sont également susceptibles de proposer la méthode.

Le code PIN WPS est un numéro aléatoire à huit chiffres. Dans des circonstances normales, il faudrait 100 millions de tentatives pour casser ce code. « Cependant, certains choix de conception ont fragilisé ce cryptage, lequel peut être réduit à seulement 11 000 tentatives, » a expliqué le chercheur dans le document qu'il a publié.

Le principal problème réside dans la manière dont les appareils répondent aux tentatives infructueuses d'authentification. En effet, les réponses d'erreur retournées par le périphérique permettent de savoir si les quatre premiers ou les quatre derniers chiffres du code PIN sont corrects ou non. Ce qui réduit considérablement la complexité d'une attaque par force brute. De plus, le dernier chiffre du code PIN est un chiffre de validation pour les sept autres, ce qui rend l'opération encore plus facile.

Une mise à jour nécessaire pour les équipements

Une tentative d'authentification prend entre 0,5 et 3 secondes, si bien qu'un attaquant éventuel peut tester les 11 000 combinaisons possibles en moins de quatre heures. « En moyenne, une attaque réussira en deux fois moins de temps, » a déclaré Stefan Viehbock. Parmi les matériels vulnérables, le chercheur a identifié des appareils provenant de plusieurs fournisseurs dont Linksys, Netgear, D-Link, Buffalo, Belkin, ZyXEL, TP-Link et Technicolor. Mais il pense que d'autres matériels sont aussi concernés par le problème.

La plupart des fabricants de routeurs n'ont pas intégré de système de verrouillage après l'échec d'une authentification WPS. Lors de ses tests, Stefan Viehbock n'a identifié qu'un seul appareil de Netgear ayant une telle protection. Mais celle-ci n'était pas suffisamment forte. Celui-ci a réussi à casser la clef du routeur en menant une attaque par force brute en moins d'une journée.

La U.S. Computer Emergency Readiness Team (US-CERT) a été alertée de cette vulnérabilité début décembre et en a informé certains vendeurs. « A l'heure actuelle, la seule solution connue est de désactiver le WPS, » a déclaré l'US-CERT dans son avis consultatif.