Le WPA2 est cassé et votre ultrabook aussi

Aaaah ! Le WPA2 a été cassé, le protocole de chiffrement utilisé par votre routeur, celui de votre boite, celui de vos clients, a été corrompu et on peut désormais lire votre mot de passe en clair, pirater vos données et tout le toutim. Problème, l’industrie des fabricants de PC a conçu des machines sans solutions alternatives.

Je ne vais pas vous refaire la leçon, une équipe de chercheurs a réussi à montrer qu’il est possible d’écouter votre connexion Wifi WPA2 et ainsi de noter vos mots de passe. Une fois ceux-ci récupérés, il est alors possible de rentrer dans votre réseau Wifi, mais également de récupérer l’accès à vos différents comptes…

Une attaque WPA2 avec la méthode KRACK

Sachant que tout le monde utilise le WPA2, à part tata Micheline qui est encore en WEP, le problème est grave. Parce que tout le monde peut accéder à vos données. Certains ont voulu être rassurants en expliquant qu’il suffirait de mettre à jour son routeur et d’attendre les patchs qui ne manqueraient pas de sortir très rapidement pour le reste du matériel. Si l’on considère que les acteurs majeurs de ce marché du sans fil ont été prévenus de ce problème de sécurité en Juillet dernier et que beaucoup d’appareils n’ont pas eu droit à la moindre mise à jour…

Il faut donc attendre que les patches sortent1 et j’ai assez de bouteille pour être sur que les plus anciens routeurs n’auront absolument pas le droit au moindre correctif  de sécurité de la part des fabricants. L’occasion est trop belle d’apposer un sticker “WPA2 OK” sur la boite d’un nouveau modèle et de relancer les ventes. Les derniers routeurs auront droit à leur correctifs, les plus anciens et même certaines box ADSL vont avoir du mal à se mettre à jour…

Ensuite et surtout, il faut que la totalité de votre réseau soit mis à jour. Si il vous reste une seule ampoule connectée, une alarme, un thermostat, un frigo, une caméra IP, un seul périphérique sans fil qui utilise un Wifi WPA2 non patché et tout votre réseau tombe à l’eau. Et alors là, vous pouvez être absolument certain que l’ensemble de votre parc ne sera pas corrigé du jour au lendemain.

ethernet1

La solution ? Les experts disent qu’il faut abandonner le Wifi WPA2 pour le moment et revenir à un bon vieux réseau Ethernet. Moyen fiable de faire passer des tombereaux de données d’un poste à un autre sans problèmes, rapidement et efficacement. Parfait.

Mais voilà, malgré les cris des utilisateurs, des professionnels et les remontées de nombreux sites d’info, le marché du portable a fait une impasse quasi systématique sur ce petit  connecteur Ethernet ces dernières années. Préférant fabriquer plus fin des machines en prétextant la présence d’un moudule Wifi rapide et efficace au sein des machines pour justifier la disparition de cette option pourtant si pratique.

ethernet2

Aujourd’hui, tous ces merveilleux ultrabooks et autres machines portables sans ports Ethernet doivent être mis à jour. Tant qu’ils ne le seront pas, ils devront se passer de Wifi : On imagine mal un avocat, un médecin, un chercheur ou autre continuer à trimbaler une passoire en guise d’outil de travail. On imagine assez mal laisser l’accès à son NAS à un voisin du quartier…

Et donc ? La solution ? J’ai posé la question à deux constructeurs de portables. La première réponse est catastrophique, elle est du type “si vous n’avez rien à cacher” c’est pourquoi je tairai le nom des constructeurs. J’ai eu littéralement mal aux os en l’entendant.

La suite est plus intéressante, d’abord on me rassure en me disant que les “patches arrivent” puis on me dit de manière plus évasive, que ce ne sont pas les constructeurs qui vont faire les correctifs mais les fabricants de circuits Wifi qui sont intégrés aux machines. Les constructeurs ne feront que les maquiller de leur logo et les mettre en ligne. En gros, les correctifs arrivent bientôt mais on sait pas quand parce qu’en fait ce n’est pas nous qui les faisons.

HP Spectre 2016

C’est fin, très fin, ça se branche à rien.

Enfin, dernière remarque amusante. “Il suffit d’acheter un adaptateur USB vers RJ45”. Oui, il suffit. Il suffit de compenser cette absence de port Ethernet par une légère amputation de votre compte en banque à posteriori. Je me répète mais sur un marché où toutes les machines se ressemblent quasiment trait pour trait, un constructeur pertinent n’aurait pas fait l’impasse sur le RJ-45. Il aurait eu un portable un poil plus épais peut être, il aurait du déplacer pas mal de connectique dans tous les sens mais il aurait eu également un argument majeur face à la quasi totalité du marché ultrabook d’aujourd’hui. Celui d’une sécurité accrue tant prisée par les professionnels et celui d’un débit constant.

“Mais les fils, c’est pénible” me répond t-on.

C’est vrai, les fils c’est pénible. Les fils ça s’emmêle. Mais proposer un adaptateur USB ne règle pas le soucis des fils. La connectique médiocre permet de faire des produits plus jolis sur les photos mais moins pratiques au quotidien. La différence d’épaisseur d’un ultrabook avec RJ45 et d’un ultrabook sans RJ45 n’apporte rien à l’utilisateur pendant toute la durée de vie de son produit à part les 10 première minutes quand il déballe l’engin et qu’il est content de sa ligne. Je comprends que l’on veuille un engin fin et plus des portables de 4 cm d’épaisseur, mais l’utrafinesse n’est finalement pas un atout pertinent puisque cela ne change rien à l’encombrement global de la machine – et très peu à son poids global – mais handicape au contraire grandement son usage. Un marché qui s’entête à développer des solutions peu utiles voire totalement inutiles en oubliant les éléments fondamentaux de ses usages, c’est un marché décadent. Quand en plus il s’entête à concevoir des outils irréparables, c’est un marché déjà totalement foutu.

Comme disent les pros, si tu as le  choix entre une super connexion Wifi et un accès Ethernet moins rapide, choisis la solution avec un fil.

Vous avez acheté un ultraportable sans RJ-45, pas forcément par choix mais par absence d’offre. Vous venez d’hériter d’un ultraportable Wifi avec fil et de l’obligation d’acheter un adaptateur. Elle est pas belle la vie ?

 

 

Notes :

  1. Une liste mise à jour de patches est tenue sur cette page, vous devriez y faire un tour
80 commentaires sur ce sujet.
  • 17 octobre 2017 - 18 h 04 min

    @morreale:
    Une adresse MAC, cela se change à la volée: Certes, elle est censée être unique et gravée dans le marbre de l’interface réseau mais en réalité le driver peut tout à fait choisir d’en utiliser une autre… ce qui rends bien service quand un fabricant peu scrupuleux fait de la réutilisation (car acheter une plage d’adresses MAC cela a un coût) et que, pas de bol, on se retrouve avec un duplicat sur son réseau. Là, l’administrateur est bien content de pouvoir la changer :o)

    Et comme la possibilité existe et que cela a des raisons d’exister, il est possible d’en abuser. Je ne saurais dire le nb de fois ou j’en ai usurpé une sur des wifi ouverts (pas de WPA…) mais avec portail captif d’hotel/résidence de vacance qui (car c’est le plus simple/fiable!) reconnaissent les machines qui ont payé l’accès wifi via leur MAC.

    On se connecte au réseau, lance un outil de dump… repère une machine active dont l’utilisateur a payé… et un coup de macchanger sous Linux et en 30s on a un accès gratos!

    J’avoue cibler les machines dont le préfixe de la MAC indique qu’Apple est le constructeur, comme elles sont passées de la machine ouverte née dans un garage à l’exemple de fermeture abrutissante et que leurs acheteurs ont les moyens… autant les viser! Surtout si l’accès est payé en fonction de l’usage.

    Certes, y’a un peu de mélange de paquets et il faut parfois recharger les pages quand sa victime navigue en même temps que soi, mais cela fonctionne globalement pas mal.

    Répondre
  • Ted
    17 octobre 2017 - 18 h 06 min

    A relativiser, l’article est trop alarmiste et balaye d’un revers de main tout ce qui est mis en place depuis des années pour sécuriser les protocoles de niveaux plus élevés. Ici ce qui est cassé c’est juste l’accès au medium (wifi), donc pas d’accès aux données. Si tout le monde est en https, ssl pas trop pourri, et/ou VPN, ce qui est quand même assez bien répandu maintenant, ça ira pas trop mal. Ceinture et bretelles comme certains ont dit. Ou alors j’ai raté quelques choses ? Il faut juste préciser que c’est une sacré porte ouverte sur le wifi. Wifi qui surtout en lieu public n’a jamais brillé sur la sécurité…

    Après pourquoi cracher sur les ultrabooks sur l’absence de port RJ45? Il n’a pas fallu attendre les ultrabooks pour ça. Rien que devant moi, j’ai un vieux latitude Dell E5440 donc orienté pro, qui n’en a pas. il fait pourtant bien 2cm d’épaisseur. Mais avec un adaptateur USB/ethernet le tour est joué.

    Répondre
  • 17 octobre 2017 - 18 h 24 min

    Vive le RJ45, à bas les pcs sans connectique, ça sert à rien d’avoir un ultraportable si il faut se trimballer une mallette d’adaptateurs en tout genre avec dès qu’on veut le brancher à quelque chose. Ce sont mes premiers critères de choix pour un nouveau portable (que j’utilise quotidiennement pour le boulot)

    Répondre
  • 17 octobre 2017 - 18 h 39 min

    @Ted: Le billet n’est pas alarmiste, en fait je me contrefout du problème technique ici. Je ne suis pas un blog qui parle de sécurité et d’autres sont plus alarmistes que moi avec bien plus de billes dans leur sac. Ce qui me pose soucis c’est le choix des constructeurs de gommer une possibilité technique qui est l’évidence d’un point de vue sécurité.

    Je ne crache pas sur les uyltrabooks mais sur la vision de l’informatique qui est devenue plus orientée sur le symbole et le glamour que l’outil technique. Si tu ne vois pas la différence entre ton exemple d’une machine sur un marché où c’était l’exception (…enfin presque voir plus bas) et la quasi totalité de la production des ultrabooks depuis deux ans… Ben c’est pas grave.

    ce que je veux mettre en avant c’est : Le marché PC se casse la gueule a trop vouloir ressembler au marché Tablette qui était censé le tuer et qui s’est déjà cassé la gueule. I lest temps de se ressaisir et de s’intéresser à nouveau au PC outil (les machines gaming fonctionnent bien parce que ce sont de bons outils technique, ce marché est en croissance) et moins aux machines “luxe” ou “mode” qui n’arrivent pas a remplir leur rôle de PC correctement (et ce marché est en récession).

    2017-10-17 18_34_25-minimachines.net

    Sinon, retourne ton Dell E5440, tu verras à l’arrière y a une prise bizarre, c’est de l’Ethernet. :D
    http://downloads.dell.com/Manuals/all-products/esuprt_laptop/esuprt_latitude_laptop/latitude-e5440-laptop_user%27s%20guide_en-us.pdf

    Répondre
  • 17 octobre 2017 - 20 h 00 min

    Je ne comprend pas tout, je dois patcher mon routeur Wifi seulement ou je dois aussi patcher mes devices ?
    Est ce vraiment nécessaire de patcher les devices ? le routeur WIFI seul n’est pas suffisant ?

    Répondre
  • 17 octobre 2017 - 20 h 38 min

    Le sticker ‘WPA2 OK’ n’est pas assez vendeur, moi je vois bien un ‘WPA 3’ ou ‘WPA NG’ (Next Generation)

    Répondre
  • 17 octobre 2017 - 20 h 48 min

    De ce que j’ai lu hier et aujourd’hui, Microsoft a déjà proposé un patch sur windows 10 en septembre/octobre.
    j’imagine que la partie logicielle du système peut améliorer les choses ou prendre le pas sur le hardware (qui n’est au final qu’un bête émetteur récepteur radio avec quelques fonctions cryptographiques hardware).
    Pour linux idem, il y a eu des patches qui doivent surement limiter la casse.
    Là où cela pose des problèmes c’est effectivement sur les routeurs/box/équipements réseaux où le software doit être mis à jour, maj firware qui n’est pas forcément tout le temps dispo ou prévue.

    Répondre
  • mst
    17 octobre 2017 - 21 h 02 min

    @yann: J’avoue cibler les machines dont le préfixe de la MAC indique qu’Apple est le constructeur, comme elles sont passées de la machine ouverte née dans un garage à l’exemple de fermeture abrutissante et que leurs acheteurs ont les moyens… autant les viser! Surtout si l’accès est payé en fonction de l’usage.”

    Ce qu’il ne faut pas lire…un justicier du net, véritable archetype d’une mentalité mesquine et etriquée, qui après une saison de Mr RObot se prend pour kevin mitnick, en s’attaquant à mme michu plutot qu’au fournisseur du réseau (je cite “surtout si l’accès est payé en fonction de l’usage”)…On a ouvertement une justification d’usurpation d’identité au pretexte que “les utilisateurs ont les moyens” parce qu’ils ont un mac…qu’en savez vous, et quand bien même. Le même pauvre type qui va rayer une jolie voiture par jalousie, sans voir le travail accompli derriere. Et depuis quand Apple est il synonyme d’environnement “ouvert”, ca n’a jamais été le cas.

    Sinon globalement d’accord avec l’article, personnellement je n’utilise que de l’ethernet depuis nos bon vieux USrobotics 56k, avant l’apparition du wireless lan, plus par souci de santé que par sécurité je dois l’avouer, pas vraiment fan du 5Ghz dans les testicules. Je pense qu’à l’instar des autres ports, une prise en charge native TB3 serait un parfait compromis. Je déplore comme Pierre le sacrifice de la connectivité sur l’autel de l’esthetisme, malgré tout j’ai cédé aux sirenes du dell xps 9365, completement dépourvu du minimum syndical, et j’appréhende ce point en attendant sa reception..

    Répondre
  • mst
    17 octobre 2017 - 21 h 22 min

    @mst: j’ajoute, après relecture, et trouver mon commentaire un peu rude, que mon intention n’était nullement d’être malpoli, donc mille excuses si ce commentaire precedent a pu vous heurter, ce n’est pas mon intention et ne vous connaissant pas je ne me permets pas de vous juger, mais vraiment, je ne pense pas correct de faire ici publiquement l’apologie de l’usurpation d’identité et du vol, car c’est bien de cela qu’il s’agit, imaginez la pauvre personne qui recoit une facture gonflée de facon injuste. C’est cette injustice que me fait commenter de facon virulente, mais je sais que ce n’est pas de cette façon qu’on fait avancer les choses. Donc mea culpa pour la rudesse de mes propos, réaction à chaud à une injustice. Bonne soirée ;) et que mes commentaires soient supprimés s’ils sont jugés non conformes, je le concois parfaitement.

    Répondre
  • 17 octobre 2017 - 21 h 30 min

    #define DEFAULT_LECTURE “\n” \
    “We trust you have received the usual lecture from the local System\n” \
    “Administrator. It usually boils down to these three things:\n\n” \
    ” #1) Respect the privacy of others.\n” \
    ” #2) Think before you type.\n” \
    ” #3) With great power comes great responsibility.\n\n”

    :p

    Répondre
  • Luz
    17 octobre 2017 - 21 h 40 min

    Et sinon, sur console de jeux, c’est pas demain la veille que l’on va voir arriver les patchs…

    Répondre
  • 17 octobre 2017 - 21 h 46 min

    chez M$ je sais pas mais coté Sony les màj c’est plutôt régulier, dans tout les cas wpa_supplicant est mis à jour régulièrement, ça devrai pas être plus compliqué à màj que le reste des autres fix

    Répondre
  • 18 octobre 2017 - 4 h 45 min

    Ca serait bien de revoir un peu le connecteur RJ45, le problème ce n’est pas que les ultraportable soient trop fin, un ultraportable c’est fait pour être le plus fin et le plus léger possible, mais les connecteurs RJ45 ont plus de 20 ans, il y a moyen de gagner de la place.
    Je pense que cela ne ce fera pas, les constructeur vont pousser l’USB type C et heureusement il existe des adaptateurs transportables comme celui Dell.

    Répondre
  • 18 octobre 2017 - 8 h 44 min

    ‘LLo,

    Ouaip, entre le RJ11 & son grand-frère, il devait pourtant bien y avoir moyen de moyenner, mais le souffle puissant du progrès (?) est passé…
    Ceci dit, un standart international, çela ne doit pas se pondre en un claquement de doigt, pfuuu..!

    Répondre
  • 18 octobre 2017 - 11 h 40 min

    Je n’ai trouvé aucune information concernant les correctifs prévus ou non par les constructeurs d’imprimantes…
    Quelqu’un a t’il vu quelque chose ?

    Répondre
  • 18 octobre 2017 - 12 h 17 min

    Oui, il s’appelle Richard Stallman mais c’était il y a longtemps.

    Répondre
  • 18 octobre 2017 - 16 h 58 min

    @starlord: joli :D

    J’en profite pour un message perso : si à la lecture de cet article vous souhaitez vous débarrasser de votre ultrabook qui “est cassé comme le wpa2”, je propose de vous en débarrasser gratuitement ! Envoyez le à minimachines qui fera suivre :p

    Répondre
  • gat
    18 octobre 2017 - 19 h 28 min

    bon franchement vue le nombre de réseau qui traine au tour de nous
    perso je cache mon réseau wifi je n autorise que des adresses mac défini avec ip statique et certain créneau horaire cela va limiter les risque non?
    j ai en plus un réseau troll en wep pour voir si cela intéresse du monde et pour le moment aucun poisson dans mon fillet en presque deux ans les seul attaques que j ai eu viennent du net en direct

    Répondre
  • 18 octobre 2017 - 20 h 48 min

    En fait chest pire que ce que je pensais.

    Je pensai qu’il fallait mettre à jour le routeur parce que c’est par lui que se connectent les périphériques, mais s’il faut mettre à jour chaque périphérique alors c’est injouable. Les objets connectés ne recevront jamais de mise à jour.
    Je vais mettre en place un filtrage MAC mais c’est vraiment peu pratique pour les invités…

    Répondre
  • 19 octobre 2017 - 0 h 06 min

    @yann:
    Attends que ma victime disparaisse : rares sont celles qui se déconnectent proprement.
    Dn

    Répondre
  • 19 octobre 2017 - 0 h 07 min

    @Hiwyx:
    Que vient faire me filtrage mac ?
    Ça ne changera rien à l’affaire.
    Db

    Répondre
  • 19 octobre 2017 - 0 h 08 min

    @gat: @gat:
    Filtre r ne changera rien à l’affaire.
    Db

    Répondre
  • 19 octobre 2017 - 7 h 25 min

    En attendant un patch, la meilleure solution temporaire est de chiffrer sa connexion avec du VPN et HTTPS systématique. Le trafic sera peut-être intercepté mais illisible.

    Répondre
  • Dan
    19 octobre 2017 - 11 h 49 min

    @ppin:
    HTTPS oui c’est une solution, ça me semble une bonne chose,
    mais le VPN je vois pas bien son utilité pour sécuriser du WIFI.

    Répondre
  • 19 octobre 2017 - 18 h 04 min
  • gUI
    19 octobre 2017 - 18 h 20 min

    Pour expliquer.

    Quand tu te connectes qquepart, c’est comme si tu écrivais une carte postale : on peut toujours lire ce qu’il y a dessus, à commencer par le destinataire.

    Avec un câble RJ45, c’est un peu le facteur : tu lui donnes la carte, il l’apporte au destinataire. C’est un peu plus confidentiel, dans le sens où quelqu’un qui passe dans la rue peut pas lire la carte.
    Le WiFi par contre, tu jettes la carte postale (tu vises bien !) directement chez le destinataire. N’importe qui peut donc lire la carte postale en la voyant passer (il lit vite !).
    Le WPA2 propose un tuyau (tu sais, les tuyaux gris des goutières) entre toi et le facteur (attention, pas le destinataire). Du coup tu peux lancer ta carte postale dans le tuyau et personne ne voit ce qu’il y a sur la carte (sauf le facteur).
    La faille, c’est qu’en fait, le tuyau est transparent, donc il ne sert à rien en fait.
    Et le VPN ? C’est l’enveloppe autour de ta carte postale. Avec une enveloppe, personne ne peut lire la carte. Ni le facteur, ni qqu’un qui voit passer la carte postale (jetée en l’air, ou tuyau transparent).

    Donc oui, pour plus de confidentialité, tu peux toujours mettre une enveloppe autour de ta carte postale.

    Répondre
  • 19 octobre 2017 - 18 h 33 min

    C’est vrai que le WPA2 qui manque de sécurité c’est un pb npotentiellement grave, mais pourtant les lignes gsm ne sont pas bcp plus sécurisées et on peut sans trop de pb (avec le matos adéquat) écouter bcp de conversation ou choper des flux de data. Et là ou j’ai du mal à comprendre la panique sur le WPA2 c’est que personne ne panique pour le gsm le réseau gsm. Pire plein de monde passe par le 3 et 4 g pour gérer ses comptes en ligne. C’est moi qui suis à l’ouest ou y a 2 poids 2 mesures?
    Sinon @gUI ton analogie est excellente! Je m’en servirait pour expliquer à mes parents pourquoi le wifi n’est pas sûr!

    Répondre
  • 19 octobre 2017 - 18 h 44 min

    @gUI 👌 👏

    Répondre
  • 19 octobre 2017 - 20 h 04 min

    @Neuro: “Et là ou j’ai du mal à comprendre la panique sur le WPA2 c’est que personne ne panique pour le gsm le réseau gsm”

    A part quelques geeks, pas grand monde ne panique sur le WPA2 cassé non plus. 99% des gens s’en cognent totalement (et je crois même que j’en fait partie… ;-) ).

    Répondre
  • Dan
    19 octobre 2017 - 23 h 07 min

    @Yacb:
    ok thanks j’ai pigé
    je voyais mon vpn que pour masquer mon ip
    effectivement mon vpn encrypte les data

    Répondre
  • LAISSER UN COMMENTAIRE

    *

    *