Wi-Fi Alliance a publié son protocole de sécurité WPA3 nouvelle génération ce janvier en promettant que celui-ci sera beaucoup plus sécurisé que la version précédente (ce qui est le cas pour de nombreux points). Mais, rien que quelques mois plus tard, le protocole a déjà été cassé par des chercheurs.
Analyse :
La sécurité des communications sans fil tel que le wifi est essentielle, car elles sont utilisées constamment pour échanger des informations sensibles voir confidentiel. Il y a deux types d’attaques qui ont été trouvées par les chercheurs : la première est une downgrade attack qui force un appareil compatible WPA3 à se connecter avec le protocole WPA2 qui lui a un certain nombre de problèmes découvert, surtout lorsque les codes wifi ne sont pas bons (trop court, facilement devinable, etc.). La deuxième attaque est un side channel leaks qui permet à une application qui tourne sur l’appareil connecté en WPA3 de trouver le mot de passe wifi (en un temps et budget très raisonnable).
Avis personnel :
Faire de la bonne sécurité est très difficile, surtout lorsqu’on traite de protocole cryptographique. Les protocoles de sécurité du wifi ont un historique peu glorieux, car ils ont systématiquement des problèmes de sécurité (on se rappelle très bien des problèmes autour du WEP il y a 20 ans en arrière et du WPS plus récemment ainsi que le KRACK attack). Le vrai problème autour de la sécurité du wifi est que ce n’est pas des protocoles déterminés par concours ou recherche académique, mais plutôt par un consortium fermé.
Ce problème démontre à nouveau l’importance d’avoir de la sécurité en profondeur et de ne pas simplement s’appuyer sur la « sécurité » de son wifi pour se sentir protégé.
Steven Meyer
Partner & CEO
Ing. EPFL, CISSP
ZENData Sarl