Les chercheurs en cybersécurité ont découvert une faille de sécurité fondamentale dans la conception de la norme de protocole WiFi IEEE 802.11, permettant aux attaquants de tromper les points d’accès dans des trames réseau qui fuient sous forme de texte en clair.

Les trames WiFi sont des conteneurs de données constitués d’un en-tête, d’une charge utile de données et d’une fin, qui incluent des informations telles que l’adresse MAC source et de destination, les données de contrôle et de gestion.

Ces trames sont ordonnées dans des files d’attente et transmises de manière contrôlée pour éviter les collisions et maximiser les performances d’échange de données en surveillant les états occupé/inactif des points de réception.

Les chercheurs ont découvert que les trames mises en file d’attente/mis en mémoire tampon ne sont pas suffisamment protégées contre les adversaires, qui peuvent manipuler la transmission de données, l’usurpation de client, la redirection de trame et la capture.

« Nos attaques ont un impact généralisé car elles affectent divers appareils et systèmes d’exploitation (Linux, FreeBSD, iOS et Android) et parce qu’elles peuvent être utilisées pour détourner des connexions TCP ou intercepter le trafic client et Web », lit-on dans le document technique publié hier par Domien Schepers et Aanjhan Ranganathan de la Northeastern University, et Mathy Vanhoef de imec-DistriNet, KU Leuven.

Défaut d’économie d’énergie
La norme IEEE 802.11 comprend des mécanismes d’économie d’énergie qui permettent aux appareils WiFi d’économiser de l’énergie en mettant en mémoire tampon ou en mettant en file d’attente les trames destinées aux appareils en veille.

Lorsqu’une station cliente (périphérique récepteur) entre en mode veille, elle envoie une trame au point d’accès avec un en-tête contenant le bit d’économie d’énergie, de sorte que toutes les trames qui lui sont destinées sont mises en file d’attente.

La norme, cependant, ne fournit pas de conseils explicites sur la gestion de la sécurité de ces trames en file d’attente et ne définit pas de limites telles que la durée pendant laquelle les trames peuvent rester dans cet état.

Une fois la station cliente réveillée, le point d’accès retire les trames mises en mémoire tampon, applique le cryptage et les transmet à la destination.

Un attaquant peut usurper l’adresse MAC d’un appareil sur le réseau et envoyer des trames d’économie d’énergie aux points d’accès, les forçant à mettre en file d’attente les trames destinées à la cible. Ensuite, l’attaquant transmet une trame de réveil pour récupérer la pile de trames.

Les trames transmises sont généralement cryptées à l’aide de la clé de cryptage adressée au groupe, partagée entre tous les appareils du réseau WiFi, ou d’une clé de cryptage par paire, unique à chaque appareil et utilisée pour crypter les trames échangées entre deux appareils.

Cependant, l’attaquant peut modifier le contexte de sécurité des trames en envoyant des trames d’authentification et d’association au point d’accès, le forçant ainsi à transmettre les trames sous forme de texte en clair ou à les chiffrer avec une clé fournie par l’attaquant.

Cette attaque est possible à l’aide d’outils personnalisés créés par les chercheurs appelés MacStealer, qui peuvent tester les réseaux WiFi pour les contournements d’isolement des clients et intercepter le trafic destiné à d’autres clients au niveau de la couche MAC.

Les chercheurs rapportent que les modèles de périphériques réseau de Lancom, Aruba, Cisco, Asus et D-Link sont connus pour être affectés par ces attaques, avec la liste complète ci-dessous.

Les chercheurs avertissent que ces attaques pourraient être utilisées pour injecter du contenu malveillant, tel que JavaScript, dans les paquets TCP.

« Un adversaire peut utiliser son propre serveur connecté à Internet pour injecter des données dans cette connexion TCP en injectant des paquets TCP hors chemin avec une adresse IP d’expéditeur usurpée », préviennent les chercheurs.

« Cela peut, par exemple, être abusé pour envoyer du code JavaScript malveillant à la victime dans des connexions HTTP en clair dans le but d’exploiter les vulnérabilités du navigateur du client. »

Bien que cette attaque puisse également être utilisée pour espionner le trafic, comme la plupart du trafic Web est chiffré à l’aide de TLS, l’impact serait limité.

Les détails techniques et la recherche sont disponibles dans le document USENIX Security 2023, qui sera présenté lors de la prochaine conférence BlackHat Asia le 12 mai 2023.

Cisco reconnaît une faille
Le premier fournisseur à reconnaître l’impact de la faille du protocole WiFi est Cisco, admettant que les attaques décrites dans le document pourraient réussir contre les produits Cisco Wireless Access Point et les produits Cisco Meraki dotés de fonctionnalités sans fil.

Cependant, Cisco estime qu’il est peu probable que les trames récupérées compromettent la sécurité globale d’un réseau correctement sécurisé.

« Cette attaque est considérée comme une attaque opportuniste, et les informations obtenues par l’attaquant auraient une valeur minimale dans un réseau configuré de manière sécurisée. » – Cisco.
Néanmoins, la société recommande d’appliquer des mesures d’atténuation telles que l’utilisation de mécanismes d’application des politiques via un système tel que Cisco Identity Services Engine (ISE), qui peut restreindre l’accès au réseau en mettant en œuvre les technologies Cisco TrustSec ou Software Defined Access (SDA).

« Cisco recommande également de mettre en œuvre la sécurité de la couche de transport pour chiffrer les données en transit dans la mesure du possible, car cela rendrait les données acquises inutilisables par l’attaquant », lit-on dans l’avis de sécurité de Cisco.

Actuellement, il n’y a aucun cas connu d’utilisation malveillante de la faille découverte par les chercheurs.

1 Comment

  1. Kasey Clarke

    novembre 10, 2023 at 7:24 pm

    This is my first time pay a quick visit at here and i am really happy to read everthing at one place

    Reply

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *