Hole196 : Une vulnérabilité identifiée dans WPA2

Le WPA2 est le protocole de chiffrement pour communications sans fil considéré jusque là comme le plus robuste. Des chercheurs de AirTight semblent avoir mis en évidence une faiblesse permettant à un utilisateur du réseau de bypasser le chiffrement de la clef privée ansi que l’authentification. Il devient ainsi capable d’intercepter le trafic qui transite sur le réseau et donc d’attaquer les machines qui s’y trouvent. Une présentation de la vulnérabilité et de son exploitation aura lieu au Defcon de Las Vegas à la fin du mois, nous en saurons alors un peu plus sur ce trou affectueusement baptisé Hole196.

En attendant, et à juste titre, Numerama et PCInpact s’interrogent sur notre désormais célèbre délit de négligence caractérisée qui tendrait à vouloir que le commun des mortels sécurise son accès Internet, alors que le gouvernement lui même a bien du mal à sécuriser ses propres sites web et pour reprendre l’ expression consacrée qui me fait bien rire, manque de diligence dans la mise en oeuvre de la résolution de l’incident .

8 réponses sur “Hole196 : Une vulnérabilité identifiée dans WPA2”

  1. Rah, tu m'as grillé de deux heures. Pendant que je cherchais des détails…

    Ceci dit, il faut être un utilisateur légitime pour exploiter la faille. Il y a quelques détails sur Network World mais ça reste un poil obscur. Mis bon, on verra la semaine prochaine…

  2. Donc en gros le dernier moyen a peu pres fiable de chiffrer son traffic wifi viens de faire pouf !. Un coup dur pour HADOPI en effet … mais dans un cadre plus "admettons qu'on s'en foute de l'HADOPI et qu'on pense plutot a la sécurité de nos réseaux", cela va amener quoi ? Je veux dire il reste encore des moyens de limiter la casse ou pas ?

  3. "Je veux dire il reste encore des moyens de limiter la casse ou pas ?"

    Oui, il suffit de regarder un peu en quoi consiste l'exploit ;-).

    Il faut deja etre authentifié WPA2 dans le réseau.
    Donc si un "intrus" est deja dans ton réseau, franchement qu'il puisse intercepter tes échanges, devient un peu le cadet de tes soucis.
    Et comme lu sur PCI, j'avoue ne pas du voir la relation avec HADOPI.
    A part pour le buzz bien sur …

  4. Youpi, vive la mort des hotspots wifi gratuits.
    T'façons, on emmerde les acheteurs de PCs nomades à pas cher qui peuvent pas se payer de la musique, non ?

    Bon, personnellement, j'attends je voir un peu la gueule de cette faille, car si ça se trouve, c'est que sur une portion de la clé ou dans certaines conditions (on avait le dico avant)…
    Et puis, le temps que ce soit implémenté et utilisé, j'espère qu'on aura le temps de passer à une nouvelle version.

  5. Bonjour,

    Il semblerait que cette faille ne soit exploitable que si on a un accès légitime sur le réseau. Ce qui redrait la faille moins critique. En tout cas c'est a esperer …

    On verra.

  6. PCInpact et Numerama pourrait aussi s'intérroger sur le nouveau décret d'outrage au drapeau.
    Le site France.fr, qui arbore le drapeau français ( Un peu modifié, certes ) , peut il être considéré comme outrageux pour le drapeau, du fait de son incapacité à recevoir les internautes ? un
    Je trouve que c'est un usage dégradant pour ma part…
    Bref, ce gouvernent n'a pas ma préférence.

    "« Art.R. 645-15.-Hors les cas prévus par l'article 433-5-1, est puni de l'amende prévue pour les contraventions de la cinquième classe le fait, lorsqu'il est commis dans des conditions de nature à troubler l'ordre public et dans l'intention d'outrager le drapeau tricolore :
    « 1° De détruire celui-ci, le détériorer ou l'utiliser de manière dégradante, dans un lieu public ou ouvert au public ;
    « 2° Pour l'auteur de tels faits, même commis dans un lieu privé, de diffuser ou faire diffuser l'enregistrement d'images relatives à leur commission.
    « La récidive des contraventions prévues au présent article est réprimée conformément aux articles 132-11 et 132-15. »"

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.