Fondateur de la société suisse 0xcite et spécialiste de la rétro-ingénierie (étude de logiciels pour en déterminer le fonctionnement interne), Dominique Bongard attire l’attention sur la vulnérabilité du Wi-Fi Protected Setup.
De son acronyme WPS, cette fonction permet de configurer facilement un réseau sans fil : plutôt que de saisir une clé de sécurité, les connexions s’effectuent via un bouton poussoir ou un code PIN à 8 chiffres. Mais dans ce dernier cas, l’absence ou la faiblesse de la technique de randomisation (affectation aléatoire) peut permettre à des tiers d’infiltrer le routeurs.
C’est cette faille que Dominique Bongard a exploitée dans sa démonstration. Il a obtenu suffisamment d’informations pour pouvoir deviner les codes PIN de différents routeurs moyennant quelques opérations de calcul hors ligne. Le tout ne nécessite « qu’une seconde », alors qu’une attaque en force brute – en générant l’ensemble des hypothèses pour trouver la bonne – peut nécessiter jusqu’à 4 heures.
Comme le note Silicon.fr, le problème réside dans l’implémentation de WPS par deux fabricants de puces Wi-Fi, dont Broadcom. L’autre constructeur n’a pas été nommé pour lui laisser le temps de corriger le bug. De nombreux équipementiers utilisent cette implémentation standard du WPS pour leur logiciel sur les routeurs… avec les risques évoqués par Dominique Bongard. Du côté de Broadcom, le firmware dispose d’une mauvaise répartition aléatoire. Le second fournisseur utilise quant à lui un canal éliminant toute affectation aléatoire.
Interrogée sur ce problème de sécurité, la Wi-Fi Alliance – en charge du standard WPS – n’est pas en mesure de confirmer l’étendue du problème. Selon la porte-parole de l’association Carol Carruba, « il est possible que le problème réside dans les implémentations spécifiques du fournisseur plutôt que sur la technologie elle-même. Comme la recherche ne permet pas d’identifier les produits concernés, nous ne savons pas si tous les périphériques Wi-Fi certifiés sont touchés« .
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous tous les secrets du Wi-Fi ?
Crédit photo : Joachim Wendler – Shutterstock.com
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
