En juillet 2017, Matty Vanhoef de l’université belge KU Leuven, a découvert une faille si critique du protocole de sécurité WPA2 du Wi-Fi, que le consortium en charge a développé WPA3, son remplacement, en janvier 2018. Malheureusement, le nouveau protocole fut développé sans consultation publique.

Cette semaine, Vanhoef, depuis passé à la New York University Abu Dhabi, et Eyal Ronen, de KU Leuven et Tel Aviv University, ont publié le document de recherche Dragonblood: A Security Analysis of WPA3’s SAE Handshake, ainsi qu’un micro-site.

Les résultats ne sont pas bons.

Les deux chercheurs ont prouvé que l’établissement de liaison (handshake), la première étape pour qu’un client se connecte au point d’accès d’un réseau Wi-Fi sécurisé, tout comme le procédé d’échanges de clés, nom de code Dragonfly, étaient vulnérables à plusieurs types d’attaques :

  • Attaque par déni de service : en exploitant le surplus de travail pour défendre contre des attaques connues par canal auxiliaire, qui peut surcharger le processeur d’un point d’accès professionnel ;
  • Attaque par dictionnaire quand le mode d’opération est la transition, en tentant de faire passer le client en WPA2. Une tentative qui est détectée et annulée par l’établissement de liaison à quatre étapes de WPA2, mais les informations envoyées durant cette étape sont suffisantes pour monter une attaque par dictionnaire ;
  • Les deux chercheurs confirment qu’il est possible d’attaquer WP3 au timing, et d’obtenir des informations sur le mot de passe ;
  • Ils inventent deux nouvelles attaques micro-architecturales par canal auxiliaire sur la mémoire cache (CVE-2019-9494), qui permet d’obtenir des informations sur le mot de passe, même si des contre-mesures sont engagées.

Les détails techniques sont laissés à l’appréciation du lecteur.

Comme dans le cas de son attaque KRACK, Vanhoef, et son nouveau collègue, ont communiqué et collaboré en secret, bien avant la publication de l’article de recherche, avec le consortium et les fabricants de produits, afin développer des correctifs de sécurité.

Ce que confirme la Wi-Fi Alliance dans un bulletin de sécurité : WPA3 en est toujours au stade précoce de déploiement, et les quelques fabricants affectés sont déjà en train de déployer les correctifs de sécurité.

Elle rappelle qu’il n’y a aucune indication que les vulnérabilités ont été exploitées, et affirme que « ces problèmes peuvent être atténués par des mises à jour logicielles sans impact sur la capacité des appareils à bien travailler ensemble. »

Le mot « atténuer » désappointe, puisqu’il implique qu’il n’y a pas de parade à 100 %.

Dans leur conclusion, les deux auteurs ne sont pas tendres : ils estiment que WPA3 n’est pas conforme aux critères d’un protocole moderne de sécurité. Ils considèrent que leurs attaques auraient pu entièrement être évitées si le processus de certification avait été plus ouvert. Ils concèdent toutefois que WPA3 est mieux que WPA2.