Malgré le fait que la nouvelle norme WPA3 n'a pas encore été mise en service, les failles de sécurité de ce protocole permettent aux attaquants de pirater un mot de passe Wi-Fi.
Le protocole Wi-Fi Protected Access III (WPA3) a été lancé dans le but d'éliminer les failles techniques du protocole WPA2, qui a longtemps été considéré comme dangereux et vulnérable à une attaque KRACK (Key Reinstallation Attack). Bien que WPA3 s'appuie sur une poignée de main plus sûre connue sous le nom de Dragonfly, qui vise à protéger les réseaux Wi-Fi contre les attaques par dictionnaire hors ligne (désactivation hors ligne), les chercheurs en sécurité Mathy Vanhoef et Eyal Ronen ont trouvé des faiblesses dans la première implémentation WPA3-Personal qui peuvent permettre à un attaquant de récupérer les mots de passe Wi-Fi en abusant des horaires ou d'un cache latéral.
«Les attaquants peuvent lire des informations que WPA3 était censé chiffrer en toute sécurité. Cela peut être utilisé pour voler des informations confidentielles, telles que les numéros de carte de crédit, les mots de passe, les messages de chat, les e-mails, etc. »
Dans un
document de recherche publié aujourd'hui intitulé DragonBlood, les chercheurs ont examiné en détail deux types de défauts de conception dans WPA3: le premier conduit à des attaques de déclassement et le second à des fuites de cache latéral.
Attaque de cache latérale basée sur le cache
L'algorithme de chiffrement de mot de passe Dragonfly, également connu sous le nom d'algorithme de chasse et de picage, contient des branches conditionnelles. Si un attaquant peut déterminer quelle branche de la branche if-then-else a été prise, il peut savoir si un élément de mot de passe a été trouvé dans une itération particulière de cet algorithme. En pratique, il a été découvert que si un attaquant peut exécuter du code non privilégié sur un ordinateur victime, il est possible d'utiliser des attaques basées sur le cache pour déterminer quelle branche a été prise lors de la première itération de l'algorithme de génération de mot de passe. Ces informations peuvent être utilisées pour effectuer une attaque par partage de mot de passe (semblable à une attaque par dictionnaire autonome).
Cette vulnérabilité est suivie à l'aide de l'identifiant CVE-2019-9494.
La protection consiste à remplacer les branches conditionnelles, qui dépendent de valeurs secrètes, par des utilitaires de sélection à temps constant. Les implémentations doivent également utiliser le calcul des
symboles de Legendre à temps constant.
Attaque par canal latéral basée sur la synchronisation
Lorsqu'une poignée de main Dragonfly utilise des groupes multiplicatifs spécifiques, l'algorithme de chiffrement du mot de passe utilise un nombre variable d'itérations pour coder le mot de passe. Le nombre exact d'itérations dépend du mot de passe utilisé et de l'adresse MAC du point d'accès et du client. Un attaquant peut mener une attaque temporaire à distance sur l'algorithme de chiffrement de mot de passe pour déterminer le nombre d'itérations nécessaires pour coder le mot de passe. Les informations récupérées peuvent être utilisées pour effectuer une attaque par mot de passe, qui est similaire à une attaque par dictionnaire autonome.
Pour empêcher les attaques basées sur la synchronisation, les implémentations doivent désactiver les groupes multiplicatifs vulnérables. D'un point de vue technique, les groupes MODP 22, 23 et 24 doivent être désactivés. Il est également recommandé de désactiver les groupes MODP 1, 2 et 5.
Cette vulnérabilité est également surveillée à l'aide de l'identifiant CVE-2019-9494 en raison de la similitude de la mise en œuvre de l'attaque.
Déclassement WPA3
Étant donné que le protocole WPA2 vieux de 15 ans a été largement utilisé par des milliards d'appareils, WPA3 ne sera pas largement distribué du jour au lendemain. Pour prendre en charge les appareils plus anciens, les appareils certifiés WPA3 offrent un «mode de fonctionnement transitoire» qui peut être configuré pour accepter les connexions utilisant à la fois WPA3-SAE et WPA2.
Les chercheurs pensent que le mode de transition est vulnérable aux attaques de rétrogradation que les attaquants peuvent utiliser pour créer un point d'accès frauduleux qui ne prend en charge que WPA2, ce qui oblige les appareils compatibles WPA3 à se connecter à l'aide de la négociation à quatre voies non sécurisée de WPA2.
"Nous avons également trouvé une attaque de rétrogradation contre la poignée de main SAE elle-même (" Authentification homologue simultanée ", communément appelée" Libellule "), où nous pouvons forcer l'appareil à utiliser une courbe elliptique plus faible que d'habitude", disent les chercheurs.
De plus, la position «homme au milieu» n'est pas nécessaire pour mener une attaque avec un déclassement. Au lieu de cela, les attaquants ont seulement besoin de connaître le SSID du réseau WPA3-SAE.
Les chercheurs ont rendu compte des résultats de la Wi-Fi Alliance, une organisation à but non lucratif qui certifie les normes WiFi et les produits Wi-Fi pour la conformité, qui ont reconnu des problèmes et travaillent avec des fournisseurs pour réparer les appareils certifiés WPA3 existants.
PoC
Pour confirmer le concept, les chercheurs publieront bientôt les quatre outils distincts suivants (dans les référentiels GitHub avec un lien hypertexte ci-dessous) qui peuvent être utilisés pour vérifier les vulnérabilités.
Dragondrain est un outil qui peut vérifier dans quelle mesure le point d'accès est vulnérable aux attaques de prise de contact WPA3 Dragonfly Dos.
Dragontime est un outil expérimental pour mener des attaques temporaires contre la poignée de main Dragonfly.
Dragonforce est un outil expérimental qui reçoit des informations pour la récupération des attaques temporaires et effectue une attaque par mot de passe.
Dragonslayer est un outil qui attaque EAP-pwd.
Dragonblood: Une analyse de sécurité de la prise de contact SAE de WPA3Site du projet -
wpa3.mathyvanhoef.com