Bien que la nouvelle norme WPA3 ne soit pas encore pleinement implémentée, des failles de sécurité dans ce protocole permettent aux attaquants de pirater les mots de passe Wi-Fi.
Wi-Fi Protected Access III (WPA3) a été lancé pour tenter de remédier aux lacunes techniques du protocole WPA2, qui a longtemps été considéré comme non sécurisé et vulnérable à KRACK (Key Reinstallation Attack). Bien que WPA3 s'appuie sur une poignée de main plus sécurisée connue sous le nom de Dragonfly, qui vise à protéger les réseaux Wi-Fi contre les attaques par dictionnaire hors ligne (force brute hors ligne), les chercheurs en sécurité Mathy Vanhoef et Eyal Ronen ont découvert des faiblesses dans une première implémentation de WPA3-Personal qui pourraient permettre un attaquant pour récupérer les mots de passe Wi-Fi en abusant des timings ou des caches secondaires.
« Les attaquants peuvent lire des informations que WPA3 est censé chiffrer de manière sécurisée. Cela peut être utilisé pour voler des informations sensibles telles que des numéros de carte de crédit, des mots de passe, des messages de chat, des e-mails, etc.
Publié aujourd'hui , appelé DragonBlood, les chercheurs ont examiné de plus près deux types de défauts de conception dans WPA3 : le premier conduit à des attaques par rétrogradation et le second conduit à des fuites de cache secondaires.
Attaque par canal secondaire basée sur le cache
L'algorithme de codage de mot de passe de Dragonfly, également connu sous le nom d'algorithme de chasse et de picage, contient des branches conditionnelles. Si un attaquant peut déterminer quelle branche de la branche if-then-else a été prise, il peut découvrir si l'élément de mot de passe a été trouvé dans une itération particulière de cet algorithme. En pratique, il a été constaté que si un attaquant peut exécuter du code sans privilèges sur un ordinateur victime, il est possible d'utiliser des attaques basées sur le cache pour déterminer quelle branche a été tentée lors de la première itération de l'algorithme de génération de mot de passe. Ces informations peuvent être utilisées pour effectuer une attaque par fractionnement de mot de passe (cela est similaire à une attaque par dictionnaire hors ligne).
Cette vulnérabilité est suivie à l'aide de CVE-2019-9494.
La défense consiste à remplacer les branches conditionnelles qui dépendent de valeurs secrètes par des utilitaires de sélection à temps constant. Les implémentations doivent également utiliser le calcul à temps constant.
Attaque par canal secondaire basée sur la synchronisation
Lorsque la poignée de main Dragonfly utilise certains groupes multiplicatifs, l'algorithme de codage du mot de passe utilise un nombre variable d'itérations pour coder le mot de passe. Le nombre exact d'itérations dépend du mot de passe utilisé et de l'adresse MAC du point d'accès et du client. Un attaquant peut effectuer une attaque de synchronisation à distance sur l'algorithme de codage du mot de passe pour déterminer le nombre d'itérations nécessaires pour coder le mot de passe. Les informations récupérées peuvent être utilisées pour effectuer une attaque par mot de passe, similaire à une attaque par dictionnaire hors ligne.
Pour éviter une attaque temporelle, les implémentations doivent désactiver les groupes multiplicatifs vulnérables. D'un point de vue technique, les groupes MODP 22, 23 et 24 doivent être désactivés. Il est également recommandé de désactiver les groupes MODP 1, 2 et 5.
Cette vulnérabilité est également suivie à l'aide de CVE-2019-9494 en raison de la similitude dans la mise en œuvre de l'attaque.
Déclassement WPA3
Étant donné que le protocole WPA15, vieux de 2 ans, a été largement utilisé par des milliards d’appareils, l’adoption généralisée du WPA3 ne se fera pas du jour au lendemain. Pour prendre en charge les appareils plus anciens, les appareils certifiés WPA3 offrent un « mode de fonctionnement transitoire » qui peut être configuré pour accepter les connexions utilisant à la fois WPA3-SAE et WPA2.
Les chercheurs pensent que le mode transitoire est vulnérable aux attaques de rétrogradation, que les attaquants peuvent utiliser pour créer un point d'accès malveillant qui ne prend en charge que WPA2, forçant les appareils compatibles WPA3 à se connecter à l'aide d'une négociation à quatre voies WPA2 non sécurisée.
"Nous avons également découvert une attaque de déclassement contre la poignée de main SAE (Simultaneous Authentication of Peers, communément appelée Dragonfly) elle-même, où nous pouvons forcer l'appareil à utiliser une courbe elliptique plus faible que la normale", ont déclaré les chercheurs.
De plus, la position de l’homme du milieu n’est pas nécessaire pour mener une attaque vers le bas. Au lieu de cela, les attaquants doivent uniquement connaître le SSID du réseau WPA3-SAE.
Les chercheurs ont rapporté leurs conclusions à la Wi-Fi Alliance, une organisation à but non lucratif qui certifie la conformité des normes WiFi et des produits Wi-Fi, qui a reconnu les problèmes et travaille avec les fournisseurs pour réparer les appareils certifiés WPA3 existants.
PoC (404 au moment de la publication)
À titre de preuve de concept, les chercheurs publieront bientôt les quatre outils distincts suivants (dans les référentiels GitHub avec lien hypertexte ci-dessous) qui peuvent être utilisés pour tester les vulnérabilités.
est un outil qui permet de tester dans quelle mesure un point d'accès est vulnérable aux attaques Dos sur la poignée de main WPA3 Dragonfly.
- Un outil expérimental pour effectuer des attaques chronométrées contre la poignée de main Dragonfly.
est un outil expérimental qui obtient des informations de récupération à partir d'attaques temporelles et effectue une attaque par mot de passe.
- un outil qui effectue des attaques sur EAP-pwd.
Site Web du projet -
Source: habr.com