Free Mobile, suivez l'actualité du nouvel opérateur mobile

businessMOBILE.fr en version mobile Accédez à la version mobile de businessMOBILE.fr

A ne pas manquer

Wi-Fi : une faille dans le protocole WPS déjà exploitée

par La rédaction de ZDNet.fr , ZDNet France. Publié le 4 janvier 2012

Tags: ,,

Sécurité - Les points d'accès utilisant ce protocole de sécurité sont vulnérables. Et un petit outil disponible en ligne permet d'exploiter cette vulnérabilité.

La sécurité du Wi-Fi a souvent été remise en cause, notamment à cause de la faiblesse de certains protocoles de sécurisation. Après le WEP qui n'a pas tenu bien longtemps face aux hackers, c'est le WPS (Wi-Fi Protected Set-up) qui aujourd'hui montre ses lacunes.

Le WPS est activé par défaut sur certains boîtiers ADSL. Il permet de contourner la saisie d’un mot de passe à la connexion via une interface matérielle comme un bouton situé sur le routeur ou un identifiant unique assigné par un constructeur à chacun de ses terminaux connectés.

Peu de solutions

Stefan Viehböck, un spécialiste en sécurité informatique a démontré que ce système était vulnérable car le nombre de variantes du code PIN utilisé était faible, d'où un risque accru d'accès non autorisé à un réseau sans-fil protégé.

"Une fois celui-ci découvert, le mot de passe WPA / WPA2 peut alors être récupéré à loisir, quelle que soit sa complexité et, surtout, autant de fois qu’il sera changé !", note nos confrères de Security Vibes.

Et il n'a pas fallu attendre bien longtemps pour que cette vulnérabilité soit exploitée par un outil dédié. L'application en question, Reaver-WPS, proposée en open source sous Linux, a été développée par Tactical Network Solutions.

Elle permet officiellement de récupérer un code WPA/WPA2 oublié en prenant la main sur un point d’accès compatible WPS en quelques heures. 

Les solutions de protection sont minces. "C’est aux fabricants de ces boîtiers de proposer un nouveau firmware, et aux opérateurs de mettre à jour les boxes de leurs abonnés", soulignent nos confrères. 

À lire aussi
Suivez facebook Flux RSS Newsletters businessMOBILE.fr

RéagissezRéagissez - 9 commentaires

  • #1 - par stratic  le 2012/01/04 12:11:21

    Combien vont se retrouver face à Hadopi grâce à ce petit outil ?

    signaler au modérateur  répondre

  • #2 - par pilk  le 2012/01/04 16:50:01

    Mais oui bien sûr, donnez le moyen à tous les idiots de la terre le moyen de récupérer la clef du voisin !!

    Il n'y a pas moyen de punir sévèrement cette boite ???

    signaler au modérateur  répondre

  • #3 - par LaCompote  le 2012/01/05 00:23:43

    Suffirait qu'ils embauchent shooby ...

    signaler au modérateur  répondre

  • #4 - par Bruno  le 2012/01/05 09:17:45

    salut

    @Pilk : souvent dans mon métier nous informons les gens du risque qu'il court ... mais en général on constate qu'il ne faut pas être celui qui annonce les problèmes ...



    et si il s'agit d'un constructeur on peut également observer que si le risque reste secret aucune correction ne sera apportée, (manque de volonté, de compétences, de ressources, coût important ... toutes les bonnes raisons de ne rien faire ...)



    pourtant : la si la peur n'évite pas le danger ... un homme averti en vaut 2 , n'est ce pas ?



    je vois dans votre commentaire encore une fois la preuve que de nombreuses personnes prennent les problèmes à l'envers.



    pour votre information : pendant de nombreuses années on nous a fait croire que les cartes bleues ne pouvaient être piratées ...

    et c'est seulement en mettant les pieds dans le plat que les banques COMMENCENT seulement à reconnaitre ce qu'elles savent depuis au moins 30 ans ...



    alors ? faut il permettre que l'on cache la vérité et que ces banques par exemple, traite des gens qui sont innocents en coupables ?



    la politique de l'autruche n'est JAMAIS payante ! (cf. 1936/1939 .... par EXEMPLE ...)

    signaler au modérateur  répondre

  • #5 - par LCaba  le 2012/01/05 10:58:01

    Si j'ai bien compris ce texte (http://sviehb.files.wordpress.com/2011/12/viehboeck_wps.pdf), la faille ne concerne pas le WPS Push-Button-Connect, comme celui de la livebox par exemple. Quelqu'un peut me confirmer ça ? merci

    signaler au modérateur  répondre

  • #6 - par pilk  le 2012/01/05 13:02:19

    Il y a une différence entre publier une faille, attendre la correction (des concernés quitte à publier un outil à disposition de professionnels) et donner la possibilité à tous les pékins de s'amuser à hacker le réseau du voisin.



    Le jour où je trouve le moyen de créer un master de clé qui permette d'ouvrir toutes les serrures de toutes les maisons, je ne vais pas mettre à dispo du monde entier la façon de créer cette clé - et pourtant c'est le mode opératoire choisi par cette boite de "sécurité".



    "Allez foutre la merde chez votre voison ça prouvera qu'on avait raison !" .. c'est lamentable.

    signaler au modérateur  répondre

  • #7 - par chatonveca  le 2012/01/05 13:22:47

    La encore Pilk tu te trompe, et je suis d'accord avec Bruno.

    Je suis aussi du métier, et combien de fois j'ai vu des annonces de faille de sécurité faite sans que les société bouge le petit doit, il n'y a que quand un outil pour exploiter cette faille est mise a disposition de tous qu'ils se bougent et réparent ça, c'est navrant, mais c'est toujours le cas.



    Sans cet outil, aucune mesure ne seras prises et des petit malin trouverons de toute façon comment exploiter cette faille, mais ça se passeras en underground, donc pas visible de tous, et donc pas d'inquiétude, tout vas bien, personne n'exploite la faille (ce qui est faux bien sure).



    Le fait qu'une société ai elle même fait un programme pour ça et l'annonce pousse a réparer cette faille justement, donc là je dit bravos a cette boite de l'avoir fait, au moins des correctifs serons fait !

    signaler au modérateur  répondre

  • #8 - par reno1983  le 2012/01/05 14:52:49

    Et puis tout le monde n'a pas un linux qui plus ai "portable" permettant d'exploiter cette faille et qu'il sache en plus installer un fichier sur cet OS. Donc cet outil n'est pas à la disposition du Pekin moyen!

    De plus, la mise à disposition de cet outil et e relayage de cet info par des sites d'information permet de pouvoir se protéger dans le cadre de l'HADOPI "ce n'est pas moi, c'est surement qqn qui à pris la main sur ma box, mais je ne sais pas comment désactiver le bouton WPS et je ne souhaite pas faire du filtrage MAC car les amis de mes enfants doivent pouvoir se connecter avec leur smatphone sans que je leur laisse accès à ma box..."

    Donc les mecs, arrêtés de voir le mal partout.

    signaler au modérateur  répondre

  • #9 - par pilk  le 2012/01/05 19:16:13

    Mon point de vue est celui d'un lambda qui ne sait pas si le WPS est activé sur sa box et si un petit malin (et vu ma poisse il y a certainement un vrai geek dans mon voisinage qui n'a rien à faire de ses journées) va s'amuser à foutre la m*** chez moi.



    Vu de ma fenêtre, ce mode opératoire m'échauffe mais vu que je ne suis pas un pro du domaine et que vous avancez que c'est une technique récurrente, ça m'énerve mais je veux bien admettre ma précipitation dans mes propos ... mais ça me gave bien quand même.

    Je vais couper mon wifi pendant un moment ça m'a rendu parano.

    signaler au modérateur  répondre

Votre commentaire

Vous n'êtes pas identifié
Pour participer à la discussion, vous devez être membre de businessMOBILE.fr et être identifié.

Afin de garantir un bon esprit de participation, les modérateurs de businessMOBILE.fr se réservent le droit de supprimer/modifier tout message considéré comme publicitaire, hors-sujet ou abusif (notamment en cas de commentaire diffamatoire ou injurieux).

Dernières News

Plus de News & blogs

Copyright © 2011 CBS Interactive. All Rights Reserved. Confidentialité

À propos de CBS Interactive | businessMOBILE recrute