Wi-Fi : des chercheurs détectent une faille dans le standard WPS

01 juin 2018 à 15h36
0
00FA000004846264-photo-wi-fi-protected-setup.jpg
Si le standard Wi-Fi Protected Setup (WPS) permet de faciliter la vie des utilisateurs d'appareils connectés en Wi-Fi, une découverte du chercheur en sécurité Stefan Viehbock tend à démontrer qu'il n'est pas un modèle de sécurité et souffre d'une brèche conséquente permettant à des hackers d'accéder à un réseau plus facilement que via un routeur qui n'en est pas équipé.

En pratique, le WPS permet de connecter un ordinateur ou tout autre appareil compatible à un routeur également équipé de la norme, et ce sans avoir à entrer la clé PIN de l'appareil : il s'agit pour cela d'appuyer en même temps sur les boutons intégrés sur les terminaux. Un gain de temps intéressant qui serait contrebalancé par un défaut de conception rendant le code PIN du routeur très sensible aux attaques par force brute.

Ce type d'attaque se contente d'essayer toutes les combinaisons possibles pour casser l'accès à un réseau ou programme protégé : dans le cas d'une clé PIN à 8 chiffres, il y a 100 millions de combinaisons possibles. Mais l'expert en sécurité Stefan Viehbock, qui travaille au US Computer Emergency Readiness Team (US-CERT) a constaté que dans le cas d'appareils dotés du standard WPS, il ne fallait jamais plus de 11 000 tentatives avant de casser la sécurité.

Après s'être penché sur les raisons de ce constat, Stefan Viehbock a découvert que le protocole WPS envoie une notification système lorsqu'une tentative de connexion avec un code PIN erroné a lieu, et que ladite notification contient des données indiquant si les 4 premiers chiffres entrés sont, ou non, corrects. De plus, le dernier chiffre de la vraie clé est utilisé comme validation de la notification : le tout donne suffisamment d'informations aux pirates pour réduire drastiquement le nombre de tentatives d'accès infructueuses.

Le US-CERT conseille donc aux utilisateurs de routeurs utilisant le standard WPS de le désactiver pour plus de sécurité, faute d'une autre solution plus concrète : l'organisme explique dans son rapport avoir contacté certaines entreprises dont Buffalo, D-Link, Linksys, Netgear et d'autres pour leur faire part du problème, mais aucune des sociétés n'a donné suite. Reste que la mise en avant de cette information dans les médias a de forte chance d'accélérer la publication de mises à jour de firmwares. En attendant, prudence est de mise.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

HTC One A9 : le faux jumeau de l'iPhone 6
Le créateur du Bitcoin n’est finalement pas celui que l’on croyait
Black Friday : elle achète un iPhone 6 et se retrouve avec des patates
On Refait le Mac : premières impressions sur l'iPhone 6
Infos US de la nuit : incertitudes sur la date de lancement de l'iPhone 6
Alimentation de 850 W pour le multi-GPU chez Corsair
De Facebook... à Sexebook, réseau social coquin ?
Netflix perdra Starz fin février 2012
Test Internet Explorer 8 : le dernier IE avant la refonte
Test Internet Explorer 9 : un navigateur en net progrès
Haut de page