Publicité en cours de chargement...

Publicité en cours de chargement...

KRACK – ROCA : une faille peut en cacher une autre

24 oct. 2017 - 11:38,
Tribune - Charles Blanc-Rolin
         

krack

Difficile de ne pas avoir entendu parler de KRACK la semaine dernière, cette attaque affectant les protocoles Wifi WPA et WPA2, et qui vient remettre en cause un mécanisme reconnu comme fiable par le NIST, l’institut américain en charge de la validation des normes et standards.

Mais sécurité est sans-fil font rarement bon ménage. Comme j’ai pu vous en parler récemment sur le site de l’APSSIS, il est possible de pratiquer de nombreuses attaques sur des connexions Wifi, à commencer par des choses simples, comme brouiller le signal ou déconnecter un utilisateur.

Vous allez me dire, alors cette nouvelle attaque, qu’en est-il réellement ? 

Découverte par le chercheur belge Mathy Vanhoelf, alors qu’il travaillait sur un autre projet, il s’est penché sur l’implémentation dans OpenBSD du mécanisme d’authentification au réseau, le fameux 4-Way handshake et à découvert qu’un attaquant peut forcer à rejouer l’envoi du message 3 sur 4 correspondant à la dérivation des clés ou l’échange des clés de session permettant de créer une clé de chiffrement unique, et par conséquent casser le chiffrement et éventuellement se positionner en tant que man in the middle sur la connexion.

Sur Linux et Android, cette attaque est d’autant plus critique car la clé de chiffrement unique est effacée de la mémoire (comme le suggère la norme 802.11r) après sa première installation, donc lors de la retransmission du message 3, le client peut accepter une clé de chiffrement avec une valeur nulle, ce qui revient à dire, pas de chiffrement. 

On voit donc clairement ici l’intérêt d’utiliser des protocoles chiffrés lorsque l’on utilise une connexion Wifi, comme SSH et HTTPS par exemple, ou mieux encore, l’utilisation systématique d’un VPN lorsque l’on utilise une connexion sans fil.

A noter également que de nombreux patchs sont déjà disponibles, il est donc une fois encore primordial de « patcher » ! (1)
Mais n’oublions pas que de nombreux appareils, tels que des dispositifs médicaux risquent de ne jamais être patchés.

roca_impact

L’attaque ROCA est quant à elle passée un peu plus inaperçue dans la presse, car étouffée par le « buzz » réalisé par KRACK, pourtant, tout comme elle, elle sera présentée lors de la conférence ACM Conference on Computer and Communcations Security qui débutera à la fin du mois et n’est pas moins critique.

ROCA est le fruit du travail de chercheurs thèques de l’université de Masaryk, qui ont découvert une vulnérabilité dans la bibliothèque RSA fournie par le constructeurs de puces électroniques (TPM) Infineon.
Ces puces équipent de nombreux ordinateurs, et toutes les clés RSA créées par des ordinateurs équipés de ces puces sont potentiellement vulnérables.
Pour rappel, les clés RSA sont utilisées dans de nombreux protocoles de chiffrements (certificats TLS, OpenVPN, SSH, PGP / GPG, Bitlocker...), l’impact est donc très conséquent.
A noter tout de même qu’il faut disposer d’une puissance de calcul importante pour permettre de casser ces clés de chiffrement. Pour une clé publique 1024 bits, il faut compter 76$ de temps processeurs (Serveurs Amazon) pour retrouver la clé privée, pour une clé 2048 bits, il faut compter 40300$.

L’ANSSI préconise donc d’appliquer les correctifs pour les TPM vulnérables, de révoquer les clés précédemment créées et de créer de nouvelles clés avec une taille minimale de 3072 bits. [2]

Il est également possible de tester la vulnérabilité de vos clés publiques à l’aide de l’outil fourni par les chercheurs : https://github.com/crocs-muni/roca

Le monde de la crypto en a pris un sacré coup, et la combinaison de ces deux attaques aurait bien de quoi faire trembler même les plus précautionneux !


(1) Vous pouvez retrouver des liens vers les principaux patchs dans le bulletin de l’ANSSI : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2017-ALE-014/

(2) https://www.cert.ssi.gouv.fr/alerte/CERTFR-2017-ALE-015/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration L’arnaque à l’arrêt de travail comme source de réflexion

L’arnaque à l’arrêt de travail comme source de réflexion

14 avril 2025 - 21:57,

Tribune

-
Cédric Cartau

Soupçonné d’avoir mis en place un site Web permettant d’acheter de « faux » arrêts de travail en quelques clics et pour 9 euros seulement, un jeune homme de 22 ans originaire des Landes est sous le coup d’une accusation et de poursuites diverses. Les faux arrêts de travail étaient générés automatiqu...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.