S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

AirSnitch : quand l’isolement des utilisateurs sur les points d’accès Wi-Fi vole en éclats

Je vais passer au Wi-Fi filaire, ça sera plus simple !

AirSnitch : quand l’isolement des utilisateurs sur les points d’accès Wi-Fi vole en éclats

Les points d’accès Wi-Fi proposent souvent la possibilité de créer plusieurs réseaux pour séparer les utilisateurs et gérer les accès. Problème, des chercheurs montrent que cette isolation peut facilement voler en éclats, via trois méthodes. Ils ont testé 11 routeurs, 11 étaient vulnérables. Certains auraient corrigé le tir, d’autres ne le pourraient pas.

Le 27 février à 12h00

Lors du Network and Distributed System Security (NDSS) Symposium qui se tient du 23 au 27 février à San Diego, des chercheurs de l’université de Californie à Riverside et de la Katholieke Universiteit de Louvain (Belgique) ont présenté leurs travaux baptisés « AirSnitch : démystifier et briser l’isolement des clients dans les réseaux Wi-Fi ». Un papier technique a aussi été mis en ligne (.pdf).

Attention, on parle bien ici de l’isolation des utilisateurs sur un même point d’accès, pas de casser le chiffrement du Wi-Fi. Si le WEP est depuis longtemps obsolète, WPA2 AES (pas en version TKIP, cassé avec KRACK) et WPA3 tiennent encore. Rien ne change avec AirSnitch, les chercheurs ne s’attaquent absolument pas au chiffrement des données, qui reste intact.

Wi-Fi invité : faites comme chez vous… heu wait !!

Pour être mises en œuvre, les attaques décrites dans leur papier nécessitent que l’utilisateur puisse se connecter à la borne Wi-Fi, que ce soit sur le même SSID ou un autre, du moment que le point d’accès est le même. Mais c’est aussi plus large, suivant les configurations.

Les chercheurs ajoutent en effet que des attaques sont également possibles entre plusieurs points d’accès, « mais aussi réalisables dans les réseaux d’entreprise et de campus où plusieurs points d’accès sont connectés sur un même réseau filaire ». Une solution pour limiter les dégâts est de mettre en place des VLAN, à condition de bien le faire évidemment.

Pour le grand public et certaines petites entreprises, les risques peuvent donc être importants si vous avez, par exemple, un réseau « invité » largement accessible.

Des protections sont en théorie en place depuis longtemps : « Pour empêcher les clients Wi-Fi malveillants d’attaquer d’autres clients sur le même réseau, les fournisseurs ont introduit l’isolation des clients, une combinaison de mécanismes bloquant la communication directe entre les clients. Cependant, l’isolation des clients n’est pas une fonctionnalité standardisée, ce qui rend ses garanties de sécurité incertaines », expliquent les chercheurs en guise d’introduction.

AirSnitch : trois vecteurs d’attaques

Ils ont identifié trois principaux vecteurs permettant de casser l’isolation. La première vient « des clés Wi-Fi protégeant les trames de diffusion qui sont mal gérées et peuvent être détournées ». Il s’agit des clés GTK (Group Temporal Key) qui sont les mêmes pour tous les clients sur un même réseau.

Autre faiblesse : « l’isolation est souvent appliquée uniquement au niveau MAC ou IP, mais rarement aux deux ». Enfin, la dernière est la conséquence d’une « faible synchronisation de l’identité d’un client à travers toute la pile réseau », permettant d’usurper son identité sur la partie la plus faible du réseau pour ensuite la garder et capter le trafic.

Les chercheurs détaillent les risques qu’ils ont identifiés. Un attaquant pourrait accéder aux paquets IP, ce qui pourrait faciliter certaines attaques car « aujourd’hui encore, 6 % et 20 % des pages chargées sous Windows et Linux, respectivement, n’utilisent pas HTTPS […] Nos attaques permettent également l’interception de sites web ou de services intranet locaux, plus susceptibles d’utiliser des connexions en clair ». Et même si HTTPS est utilisé (les données ne sont pas déchiffrées via les attaques), « les adresses IP utilisées sont toujours révélées, ce qui est souvent suffisant pour savoir quel site web est visité ».

Comme un « attaquant peut intercepter et exploiter tout trafic en clair de la victime […], il peut intercepter le trafic DNS et empoisonner le cache DNS du système d’exploitation de la victime. Il peut également modifier l’enregistrement DHCP et changer l’adresse de la passerelle et le serveur DNS utilisés par la victime. Ces attaques peuvent avoir un impact durable sur la victime, même après que l’attaquant a cessé d’être un intermédiaire ».

Netgear, D-Link, TP-Link, Ubiquiti… plus d’une dizaine de routeurs vulnérables

Onze routeurs ont été testés et tous ont été vulnérables à au moins une des attaques : Netgear Nighthawk X6 R8000, Tenda RX2 Pro, D-Link DIR-3040, TP-Link Archer AXE75, ASUS RT-AX57, DD-WRT v3.0-r44715, OpenWrt 24.10, Ubiquiti AmpliFi Alien Router, Ubiquiti AmpliFi Router HD, LANCOM LX-6500 et Cisco Catalyst 9130. Pour ceux qui voudraient tenter eux-mêmes l’expérience (et qui ont du matériel compatible), du code est disponible dans ce dépôt GitHub.

Les chercheurs détaillent une attaque de bout en bout sur un routeur Netgear R8000. Il est configuré avec quatre SSID, deux invités et deux de « confiance », chacun sur les 2,4 et 5 GHz. Le routeur est connecté à Internet via un câble réseau.

L’attaquant est sur le réseau invité et veut lancer une attaque de type « homme du milieu » (MitM), afin d’intercepter tout le trafic montant et descendant d’une victime sur le réseau de « confiance ». « L’attaquant commence donc par se connecter au SSID invité avec l’adresse MAC de la victime, mais sur une fréquence différente afin d’éviter toute déconnexion ». On vous épargne la partie technique (page 10 de ce document .pdf) pour arriver à la conclusion.

Les techniques mises en place « amènent le point d’accès à rediriger le trafic descendant de la victime vers le SSID invité. L’attaquant renvoie ensuite le trafic intercepté à la victime grâce à la technique de rebond de passerelle. De même, il intercepte le trafic montant en usurpant l’adresse MAC du point d’accès (c’est-à-dire le routeur passerelle) et le renvoie au serveur de la victime. L’attaque complète dure environ deux secondes. Pendant toute la durée de l’attaque, la victime regarde une vidéo YouTube en streaming sans subir de latence significative ».

Ars Technica s’est entretenu avec le premier chercheur de la publication, Xin’an Zhou. Nos confrères ont glané quelques informations sur les réactions des constructeurs de bornes et points d’accès : « Zhou a indiqué que certains fabricants de routeurs avaient déjà publié des mises à jour atténuant certaines attaques, et que d’autres étaient attendues. Il a toutefois précisé que certains fabricants lui avaient confié que certaines failles systémiques ne pouvaient être corrigées qu’en modifiant les puces sous-jacentes qu’ils achètent auprès des fabricants de semi-conducteurs ». Nos confrères n’entrent pas davantage dans les détails.

À la fin de leur publication, les chercheurs affirment avoir « signalé les vulnérabilités aux fournisseurs concernés, ainsi qu’à la Wi-Fi Alliance. La Wi-Fi Alliance a pris acte de leurs conclusions et ils attendent sa décision ».

Prudence sur les Wi-Fi publics et invités… comme toujours

Côté utilisateur, pas grand-chose à faire si ce n’est faire preuve de prudence. Il faut déjà se méfier des points d’accès publics, mais donc aussi de ceux plus confidentiels. Éviter aussi de donner accès à un Wi-Fi invité à n’importe qui (on espère que vous n‘avez pas attendu cette actualité…).

Une autre solution, les VPN : « Une partie de la menace peut être atténuée en utilisant des VPN, mais cette solution présente tous les inconvénients habituels. D’une part, les VPN sont réputés pour la fuite de métadonnées, des requêtes DNS et d’autres trafics utiles aux attaquants, ce qui limite la protection. Et d’autre part, trouver un fournisseur VPN réputé et digne de confiance s’est avéré historiquement difficile, même si la situation s’est améliorée récemment. En fin de compte, un VPN ne devrait pas être considéré comme plus qu’un simple pansement », explique Ars Technica.

Il n’est pas forcément nécessaire de passer par un tiers, si vous avez une Freebox avec Freebox OS, elle peut faire office de serveur VPN Wireguard, vous permettant ainsi d’utiliser votre connexion Internet en déplacement, de manière sécurisée. Vous pouvez également utiliser un VPS pour y installer un serveur VPN, nous aurons prochainement l’occasion d’en reparler. Surtout, soyez prudent face aux petits et gros mensonges des vendeurs de VPN.

Commentaires (18)

votre avatar
Si j'ai bien compris l'attaque décrite dans l'article (je n'ai pas lu tout le papier), ça s'appuie pas mal sur l'usurpation d'adresses MAC et aussi sur le fait que les SSID des réseaux sont différentes en fonction des fréquences (afin que la connexion d'un appareil avec la même adresse MAC ne déconnecte pas l'appareil visé).
Donc utiliser le même SSID sur toutes les fréquences ferait que l'on est déconnecté et donc que l'on ne pourrait pas être espionné. En plus, c'est plus pratique à l'utilisation.
votre avatar
Il y a aussi des cas légitimes d'utilisation d'adresse MAC "en doublon", par exemple pour connecter un client à la fois en Ethernet et en WiFi pour pouvoir basculer entre les deux de manière transparente (interface bond en mode active-backup).
Certains points d'accès n'aiment pas trop ça.
votre avatar
Maman, maman j'ai besoin d'un VPN, ...heu... ce n'est pas pour moi.... c'est que le WIFI n'est pas sûr.
votre avatar
"Vous pouvez également utiliser un VPS pour y installer un serveur VPN, nous aurons prochainement l’occasion d’en reparler."

:yes:
votre avatar
Vous pouvez également utiliser un VPS pour y installer un serveur VPN, nous aurons prochainement l’occasion d’en reparler. Surtout, soyez prudent face aux petits et gros mensonges des vendeurs de VPN.
Attention quand même avec ce genre de chose. Un VPN mal configuré ou mal sécurisé ou sur une machine mal gérée, ça va finir tout autant en passoire.

Le "faites-le vous-même" c'est bien, mais on parle quand même d'outils de sécurité IT qui nécessitent d'avoir des notions de base et des réflexes dans le domaine. Par exemple, ne pas oublier qu'un serveur à peine pop sur une IP publique se fait déjà gang-bang par 150 bots au bout de dix minutes.
votre avatar
aujourd’hui encore, 6 % et 20 % des pages chargées sous Windows et Linux, respectivement, n’utilisent pas HTTPS
C'est dingue une telle différence. Et la source (https://transparencyreport.google.com/https/overview) n'avance aucune raison.
Peut-être parce que sur Linux, les utilisateurs accèdent à plus de sites web ou de services intranet locaux comme mentionné dans l'article ? J'ai quand même du mal à imaginer que ça puisse justifier un tel écart.
votre avatar
Sous Linux Debian-like, apt récupère en général tout en http, et vérifie lui-même l'intégrité des paquets reçus.
votre avatar
Ce genre d'usage n'est pas compté dans les stats de Google vu qu'ils se basent uniquement sur les pages affichées dans Chrome.
votre avatar
Je pense qu'il y a une nuance quand même. HTTPS signifie que le trafic est signé (TLS) ET le server authentifié (certificat approuvable).
Si le certificat n'est pas approuvable (pour de multiples raisons), et que la connexion est quand même accepté par le client, il reste tout de même chiffré avec TLS.
Donc ça ferait plutôt 3 cas de figures : HTTPS (chiffré TLS et authentifié), pseudo-HTTPS ( chiffré TLS mais pas authentifié) et HTTP (trafic en clair).
votre avatar
Logique le Wifi ne crée pas un réseau local dédié, tout le monde est sur le même réseau local.
votre avatar
Un réseau wifi invité est justement censé permettre l'accès internet, mais sans être sur le LAN.
Et sur les réseaux WiFi publics, idéalement les clients doivent être isolés : bien qu'ils soient sur le même SSID, il est préférable de ne pas leur permettre d'échanger directement (au cas où certains services seraient exposés, à cause d'une configuration de firewall inadaptée).
votre avatar
point d'accès wifi à 20 euros branché en filaire pour les invités. zou.
votre avatar
Non, le réseau ip reste commun :non:
depuis toujours, on met des SSID différents dans des vlans différents et des réseaux ip différents, de préférence derrière un routeur parefeu, du moins chez les gens sérieux.
votre avatar
alors, j'ai un switch administrable et vlan différent en effet.
votre avatar
Les routeurs Synology sous SRM me semblent protégés contre de ce type d'attaque si on active la détection de tempête de Broadcast, c'est étonnant qu'ils n'aient pas testé ceux-ci (après c'est clairement pas des menus que tout le monde va aller activer). Après hormis pour fonctionner en mesh, je vois pas l’intérêt de nommer ses points d'accès wifi avec le même nom (et la plupart des équipements domotiques recommandent de séparer les 2.4Ghz des 5Ghz pour éviter les instabilités). Après le choix du Canal, faut éviter de jouer les apprentis sorciers la dessus. J'ai un voisin, qui me cannibalise toutes les plages de fréquence du 2.4Ghz sur 80Mhz de large en se perturbant lui même à cause des chevauchement de ses fréquences des canaux utilisés. Il faut mieux rester sur un unique canal loin des autres canaux utilisés aux environs.
votre avatar
Il s’agit des clés GTK (Group Temporal Key) qui sont les mêmes pour tous les clients sur un même réseau.Il s’agit des clés GTK (Group Temporal Key) qui sont les mêmes pour tous les clients sur un même réseau.
J'ai peur d'avoir compris... la clé de chiffrement est commune entre SSID (invité et "privé") ?!
WTF ! il n'y a aucune sécurité !!!
votre avatar

Il s'agit d'une clé qui ne sert normalement pas pour communiquer avec un seul client Wi-Fi
La GTK est dérivée de la GMK et sert à chiffrer et authentifier les trames à destination de plusieurs stations (broadcast ou multicast)
Ils détournent son usage pour communiquer vers un seul appareil qui hélas l'accepte.

En fait, c'était écrit dans l'article, mais moins clairement :
« des clés Wi-Fi protégeant les trames de diffusion qui sont mal gérées et peuvent être détournées »
Diffusion traduction de broadcast, mais on l'utilise tellement peu en français que l'on ne comprend pas et il n'est pas expliqué comment elles sont détournées.
votre avatar
bah, à priori, tout le monde détourne les broadcast, puisqu'ils s'adressent à tout le monde.
C'est autre chose de les utiliser pour communiquer dans les deux sens.

AirSnitch : quand l’isolement des utilisateurs sur les points d’accès Wi-Fi vole en éclats

  • Wi-Fi invité : faites comme chez vous… heu wait !!

  • AirSnitch : trois vecteurs d’attaques

  • Netgear, D-Link, TP-Link, Ubiquiti… plus d’une dizaine de routeurs vulnérables

  • Prudence sur les Wi-Fi publics et invités… comme toujours