Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Kr00k : le Wifi une nouvelle fois mis à mal

28 fév. 2020 - 14:34,
Tribune - Charles Blanc-Rolin
Les chercheurs de la société Eset ont publié le 26 février un rapport [1] sur une nouvelle vulnérabilité affectant de très nombreuses puces Wifi utilisant les protocoles WPA2 et WPA2 Enterprise avec un chiffrement AES-CCMP. Ce qui est toujours la norme aujourd’hui, préconisée par l’ANSSI [2]. Il ne s’agit pas ici d’une attaque cryptographique portant sur AES-CCMP, mais bien sur l’implémentation de WPA2 qui est faite dans ces puces.

Vous vous rappelez peut-être de Krack [3] en 2017, une poignée de vulnérabilités permettant de porter atteinte à la confidentialité des données en interférant dans le mécanisme en quatre temps visant à assurer la confidentialité des échanges, plus précisément en interceptant les communications entre un client et un point d'accès Wi-fi, et en amenant le client à réutiliser des paramètres entrant en compte dans le chiffrement des données échangées.

Dans le même esprit, la vulnérabilité Kr00k, référencée sous la CVE-2019-15126 vient interférer dans une connexion Wifi établie. Après avoir envoyé des trames de « déconnexion » spécifiques, la puce Wifi de l’appareil rétablie la connexion en utilisant une clé de chiffrement dont la valeur est remise à zéro, ce qui pourrait permettre à un attaquant « à proximité » de déchiffrer facilement l’intégralité du trafic réseau… Une belle attaque « Man In The Middle » en soit.

kr00k_attack

Plus d’un milliard d’appareils en tout genre seraient concernés, du smartphone au routeur en passant par les tablettes, ordinateurs et dispositifs de type IOT avec très certainement des dispositifs médicaux dans le lot, il ne faut pas se leurrer. Les puces utilisant le protocole WPA3 ne seraient pas concernées, mais elles sont aujourd’hui encore déployées en minorité.

S’il faut appliquer les firmwares patchés sur l’ensemble des terminaux, bon courage… Il serait plus facile de renouveler la flotte… J’allais oublier l’aspect budget évidemment. On se donne rendez-vous dans dix ans, même jour, même heure, mêmes vulnérabilités...


[1] 

[2] 

[3] 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Illustration Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs

02 mai 2025 - 16:13,

Tribune

- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic Associés

Par décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Illustration Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée

24 avril 2025 - 15:14,

Actualité

- DSIH

La Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.