Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : alerte sur la fonction WPS des routeurs Wi-Fi

Fondateur de la société suisse 0xcite et spécialiste de la rétro-ingénierie (étude de logiciels pour en déterminer le fonctionnement interne), Dominique Bongard attire l’attention sur la vulnérabilité du Wi-Fi Protected Setup.

De son acronyme WPS, cette fonction permet de configurer facilement un réseau sans fil : plutôt que de saisir une clé de sécurité, les connexions s’effectuent via un bouton poussoir ou un code PIN à 8 chiffres. Mais dans ce dernier cas, l’absence ou la faiblesse de la technique de randomisation (affectation aléatoire) peut permettre à des tiers d’infiltrer le routeurs.

C’est cette faille que Dominique Bongard a exploitée dans sa démonstration. Il a obtenu suffisamment d’informations pour pouvoir deviner les codes PIN de différents routeurs moyennant quelques opérations de calcul hors ligne. Le tout ne nécessite « qu’une seconde », alors qu’une attaque en force brute – en générant l’ensemble des hypothèses pour trouver la bonne – peut nécessiter jusqu’à 4 heures.

Comme le note Silicon.fr, le problème réside dans l’implémentation de WPS par deux fabricants de puces Wi-Fi, dont Broadcom. L’autre constructeur n’a pas été nommé pour lui laisser le temps de corriger le bug. De nombreux équipementiers utilisent cette implémentation standard du WPS pour leur logiciel sur les routeurs… avec les risques évoqués par Dominique Bongard. Du côté de Broadcom, le firmware dispose d’une mauvaise répartition aléatoire. Le second fournisseur utilise quant à lui un canal éliminant toute affectation aléatoire.

Interrogée sur ce problème de sécurité, la Wi-Fi Alliance – en charge du standard WPS – n’est pas en mesure de confirmer l’étendue du problème. Selon la porte-parole de l’association Carol Carruba, « il est possible que le problème réside dans les implémentations spécifiques du fournisseur plutôt que sur la technologie elle-même. Comme la recherche ne permet pas d’identifier les produits concernés, nous ne savons pas si tous les périphériques Wi-Fi certifiés sont touchés« .

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous tous les secrets du Wi-Fi ?

Crédit photo : Joachim Wendler – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

5 mois ago