Le WPA3, nouveau protocole de sécurité Wi-Fi lancé en juin 2018, souffre de vulnérabilités qui permettent à un adversaire de récupérer le mot de passe d'un réseau sans fil en menant des attaques « efficaces et peu coûteuses », selon un nouveau article de journal académique et un site web dédié aux failles.

Pour rappel, la troisième itération du protocole Wi-Fi Protected Access (WPA) vise à améliorer la sécurité sans fil, notamment en rendant pratiquement impossible la violation d'un réseau WiFi au moyen d'attaques par mot de passe. Cette mesure de sécurité- gracieuseté de la poignée de main (ou handshake) « Authentification simultanée d'égaux » (SAE) de la WPA3, communément appelée Dragonfly - pourrait même « protéger les gens d'eux-mêmes », dans le cas bien trop fréquent où ils auraient choisi des mots de passe faciles à trouver.

Pas si vite, selon Mathy Vanhoef de l'Université de New York Abu Dhabi et Eyal Ronen de l'Université de Tel Aviv et KU Leuven. Leurs recherches ont révélé que les mots de passe ne sont peut-être pas hors de portée des pirates informatiques, car le protocole contient des défauts de conception de deux principaux types, qui peuvent être exploités pour des attaques.

« Nous avons malheureusement constaté que même avec la WPA3, un attaquant à portée d'une victime peut toujours récupérer le mot de passe du réseau Wi-Fi », écrivent-ils. Les vulnérabilités - qui n'ont été identifiées que dans l'implémentation personnelle et non d'entreprise de WPA3 - sont collectivement appelées « Dragonblood ».

Logo de Dragonblood (wpa3.mathyvanhoef.com)

Un type d'attaque, surnommé « attaque downgrade », cible le mode de transition du WPA3, dans lequel un réseau peut simultanément prendre en charge WPA2 et WPA3 pour une rétrocompatibilité.

« Si un client et un PA [point d'accès] supportent tous deux WPA2 et WPA3, un adversaire peut mettre en place un PA voyou qui ne supporte que WPA2. Le client (c'est-à-dire la victime) se connecte en utilisant la poignée de main à 4 directions du WPA2. Bien que le client détecte le déclassement en WPA2 pendant la poignée de main à 4, c'est trop tard, » selon les chercheurs.

En effet, les messages de ce 4-Way Handshake qui ont été échangés avant que le déclassement ne soit détecté fournissent suffisamment d'informations pour lancer une attaque hors ligne contre le mot de passe Wi-Fi par dictionnaire. L'attaquant n'a besoin que de connaître le nom du réseau, alias Service Set Identifier (SSID), et d'être assez proche, pour diffuser le faux PA.

Par ailleurs, l'attaque par canal latéral, qui cible la méthode d'encodage par mot de passe de Dragonfly, se décline en deux versions : basée sur le cache ou sur le timing.

« L'attaque basée sur le cache exploite l'algorithme de hash-to-curve de Dragonfly, et notre attaque basée sur le timing exploite l'algorithme de hash-to-group. Les informations divulguées dans ces attaques peuvent être utilisées pour effectuer une attaque de partitionnement de mot de passe, qui est similaire à une attaque de dictionnaire, » soulignent Vanhoef et Ronen, qui ont également partagé des scripts destinés à tester certaines des vulnérabilités qu'ils ont découvertes.

« Les attaques qui en résultent sont efficaces et peu coûteuses. Par exemple, pour forcer tous les mots de passe en minuscules de 8 caractères, nous avons besoin de moins de 40 poignées de main et 125$ d'instances d'Amazon EC2 », précisent-ils.

De plus, les deux chercheurs ont également découvert que les protections intégrées du WPA3 contre les attaques par déni de service (DoS) peuvent être contournées trivialement et qu'un attaquant peut surcharger un PA en lançant un grand nombre de poignées de main.

Tout n'est pas perdu

Vanhoef et Ronen expliquent avoir collaboré avec la Wi-Fi Alliance et le US CERT Coordination Center (CERT/CC), afin d’informer tous les fournisseurs concernés de manière coordonnée.

L'Alliance Wi-Fi a reconnu les vulnérabilités et a déclaré qu'elle fournissait des conseils de mise en œuvre aux fournisseurs concernés. « Le petit nombre de fabricants d'appareils concernés ont déjà commencé à déployer des correctifs pour résoudre le problème », selon l'organisme de certification des appareils compatibles Wi-Fi.

Entre outre, Vanhoef et Ronen précisent : « nos attaques auraient pu être évitées si la Wi-Fi Alliance avait créé la certification WPA3 d'une manière plus ouverte. » Cependant, ils soulignent que malgré tous ses défauts, le WPA3 constitue une amélioration par rapport au WPA2.

Vanhoef est notamment l'un des chercheurs qui, en 2017, a révélé une faille de sécurité dans WPA2 connue sous le nom de Key Reinstallation AttaCK (KRACK).