Publicité en cours de chargement...

Publicité en cours de chargement...

Kr00k : le Wifi une nouvelle fois mis à mal

28 fév. 2020 - 14:34,
Tribune - Charles Blanc-Rolin
Les chercheurs de la société Eset ont publié le 26 février un rapport [1] sur une nouvelle vulnérabilité affectant de très nombreuses puces Wifi utilisant les protocoles WPA2 et WPA2 Enterprise avec un chiffrement AES-CCMP. Ce qui est toujours la norme aujourd’hui, préconisée par l’ANSSI [2]. Il ne s’agit pas ici d’une attaque cryptographique portant sur AES-CCMP, mais bien sur l’implémentation de WPA2 qui est faite dans ces puces.

Vous vous rappelez peut-être de Krack [3] en 2017, une poignée de vulnérabilités permettant de porter atteinte à la confidentialité des données en interférant dans le mécanisme en quatre temps visant à assurer la confidentialité des échanges, plus précisément en interceptant les communications entre un client et un point d'accès Wi-fi, et en amenant le client à réutiliser des paramètres entrant en compte dans le chiffrement des données échangées.

Dans le même esprit, la vulnérabilité Kr00k, référencée sous la CVE-2019-15126 vient interférer dans une connexion Wifi établie. Après avoir envoyé des trames de « déconnexion » spécifiques, la puce Wifi de l’appareil rétablie la connexion en utilisant une clé de chiffrement dont la valeur est remise à zéro, ce qui pourrait permettre à un attaquant « à proximité » de déchiffrer facilement l’intégralité du trafic réseau… Une belle attaque « Man In The Middle » en soit.

kr00k_attack

Plus d’un milliard d’appareils en tout genre seraient concernés, du smartphone au routeur en passant par les tablettes, ordinateurs et dispositifs de type IOT avec très certainement des dispositifs médicaux dans le lot, il ne faut pas se leurrer. Les puces utilisant le protocole WPA3 ne seraient pas concernées, mais elles sont aujourd’hui encore déployées en minorité.

S’il faut appliquer les firmwares patchés sur l’ensemble des terminaux, bon courage… Il serait plus facile de renouveler la flotte… J’allais oublier l’aspect budget évidemment. On se donne rendez-vous dans dix ans, même jour, même heure, mêmes vulnérabilités...


[1] 

[2] 

[3] 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

Des lignes directrices sur la portée des obligations applicables aux modèles d'IA à usage général (1)

29 juil. 2025 - 11:09,

Actualité

-
Marguerite Brac de La Perrière

Le règlement (UE) 2024/1689 (AI Act), entré en vigueur le 1er août 2024, vise à encadrer le développement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en conciliant innovation technologique et protection des droits fondamentaux.

Illustration Dernier billet philosohico-cyber avant la plage

Dernier billet philosohico-cyber avant la plage

21 juil. 2025 - 10:00,

Tribune

-
Cédric Cartau

À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Illustration Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé

07 juil. 2025 - 23:57,

Actualité

- DSIH

Le ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...

Illustration Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

Ce qu’il fallait retenir de l’édition 2025 du congrès APSSIS

01 juil. 2025 - 00:00,

Actualité

- DSIH

La 13ᵉ édition du congrès APSSIS, qui s’est tenue en juin 2025, a une nouvelle fois confirmé sa place centrale dans l’écosystème de la cybersécurité en santé. Au fil de trois jours de conférences, de débats et de rencontres, RSSI, DPO, DSI, juristes et institutionnels ont croisé leurs expertises pou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.