Les temps sont durs pour le WiFi. Si cette connectivité réseau sans fil fait le bonheur des utilisateurs, il est aussi un véritable danger et une belle opportunité de vecteur d'attaque pour les pirates. Ces dernières années, les failles de sécurité dans les protocoles de sécurité - autant WPA 2 que WPA 3 - se sont multipliées. Avec pour conséquence de rendre les connexions des terminaux WiFi (PC portables, smartphones, routeurs, points d'accès...) vulnérables. La situation ne s'améliore pas avec le chercheur en sécurité Mathy Vanhoef à l'Université de New York Abu Dhabi qui vient de dévoiler une collection de brèches de sécurité affectant les terminaux WiFi baptisées FragAttacks. 

« Un adversaire qui se trouve à portée radio d'une victime peut abuser de ces vulnérabilités pour voler des informations utilisateur ou attaquer des appareils », a prévenu dans un billet Mathy Vanhoef. « Trois des vulnérabilités découvertes sont des défauts de conception dans la norme WiFi et affectent donc la plupart des appareils ». Mais ce n'est pas tout car le chercheur a aussi relevé d'autres trous de sécurité causées par des erreurs de programmation généralisées dans les produits WiFi. La découverte du chercheur concerne tous les protocoles de sécurité récents du WEP au WPA 3. 

Des failles matérielles WiFi faciles à exploiter

« Les défauts de conception sont difficiles à exploiter car cela nécessite une interaction de l'utilisateur ou n'est possible que lors de l'utilisation de paramètres réseau inhabituels », précise Mathy Vanhoef. « En conséquence, dans la pratique, la plus grande préoccupation concerne les erreurs de programmation dans les produits WiFi, car plusieurs d'entre elles sont faciles à exploiter ». La découverte de ces faiblesses a quand même de quoi surprendre car elle intervient après les correctifs apportés au très sévère exploit Krack (key reinstallation attacks) permettant de compromettre la gestion des clé de sécurité du WPA 2 débouchant sur du déchiffrement, du packet relay, du hijacking de connexion TCP ou encore de l'injection de contenu HTTP compromis.

Dans une vidéo, Mathy Vanhoef donne trois exemples de la manière dont un adversaire peut tirer parti des vulnérabilités. Premièrement, la faille de conception d'agrégation est utilisée de manière abusive pour intercepter des informations sensibles (par exemple le nom d'utilisateur et le mot de passe de la victime). Deuxièmement, il montre comment un adversaire peut exploiter des terminaux IoT non sécurisés en allumant et éteignant à distance une prise de courant connectée. Enfin, il a montré comment les vulnérabilités peuvent être utilisées de façon malveillante pour lancer des attaques évoluées. Un exemple de prise de contrôle d'une machine Windows 7 obsolète dans un réseau local est ainsi détaillé.

Une salve de 12 CVE publiées

Suite à la publication de cette recherche, l'ICASI (industry consortium for advancement of security) a émis un bulletin d'alertes reprenant les différentes vulnérabilités découvertes par Mathy Vanhoef et leurs dénominations associées : CVE-2020-24586 (effacement de fragments mémoire lors de la reconnexion à un réseau), CVE-2020-24587 (réassemblage de fragments chiffrés sous différentes clés), CVE-2020-24588 (acceptation de trames A-MSDU non SPP), CVE-2020-26139 (transfert de trames EAPOL même si l'expéditeur n'est pas encore authentifié), CVE-2020-26140 (acceptation des trames de données en clair dans un réseau protégé), CVE-2020-26141 (non vérification des trames TKIP MIC fragmentées), CVE-2020-26142 (traitement des images fragmentées en images complètes), CVE-2020-26143 (acceptation des trames de données fragmentées en texte brut dans un réseau protégé), CVE-2020-26144 (acceptation des trames A-MSDU en texte clair commençant par un en-tête RFC1042 avec EtherType EAPOL dans un réseau chiffré), CVE-2020-26145 (acceptation des fragments de diffusion en texte brut sous forme de trames complètes dans un réseau chiffré), CVE-2020-26146 (réassemblage des fragments chiffrés avec des numéros de paquet non consécutifs), CVE-2020-26147 (réassemblage des fragments mixtes chiffrés/en clair).