Comment se protéger contre la panne qui a rendu le Wi-Fi vulnérable

Le 16 octobre 2017 est une date importante pour la sécurité numérique : 13 ans après son lancement, le protocole WPA2, qui protège presque tous les réseaux Wi-Fi modernes dans le monde, a vu sa première vulnérabilité majeure révélée. Les défaillances permettent d’intercepter la connexion entre le dispositif et le routeur, de voler des informations sensibles ou même d’injecter du contenu malveillant. Et maintenant ?

Il est difficile de comprendre l’ampleur d’une faille aussi grave, alors soyons plus clairs : l’attaque fonctionne contre tous les réseaux Wi-Fi modernes protégés. Les vulnérabilités se trouvent dans le protocole WPA2, et non dans des implémentations ou des dispositifs spécifiques. Par conséquent, si certains systèmes d’exploitation sont plus affectés que d’autres, ils sont tous dans le même bateau.

Lire la suite : Votre réseau Wi-Fi protégé est officiellement non protégé

Sommaire

Comment se protéger ?
Qu’est-ce qui n’est PAS protégé ?
Ce qui ne protège pas directement, mais c’est une bonne idée
Et maintenant ?

Comment se protéger ?

Bien que l’échec se situe dans le protocole, il est possible de mettre en œuvre un mécanisme de sécurité supplémentaire sans rompre la compatibilité avec les réseaux existants (aucun “WPA3” n’est requis). C’est pourquoi certaines entreprises distribuent déjà des patchs :

Microsoft a déjà publié des mises à jour pour Windows 7 et les versions ultérieures. S’il n’y a pas d’installation en attente sur votre Windows Update, vous êtes déjà libéré du problème.

Google publiera un correctif de sécurité pour Android le 6 novembre. Toute personne possédant un smartphone Pixel sera protégée, sinon il faudra attendre la bonne volonté des fabricants.

Les principales distributions de Linux publient des correctifs pour le paquet wpa-supplicant. Installez-les. Linux est plus touché que les autres car, en plus d’être vulnérable aux failles du protocole WPA2, il a une mise en œuvre défaillante.

Apple a corrigé les vulnérabilités des versions bêta actuelles d’iOS, de macOS, de tvOS et de watchOS ; elles devraient bientôt parvenir aux utilisateurs.

Rencontrez Motorola Droid 2

Si votre ordinateur, votre smartphone ou tout autre appareil connecté est à jour, cela devrait empêcher l’interception des données. Cependant, cela ne protège pas tous les appareils connectés au réseau : les smartphones équipés d’Android et certains appareils intelligents, comme les caméras de sécurité, peuvent ne jamais recevoir de mise à jour. Il est donc également important d’installer un patch sur votre routeur Wi-Fi.

Pour l’instant, les corrections publiées sont limitées aux routeurs de niveau entreprise, comme ceux d’Ubiquiti. Mais il est bon de vérifier si le fabricant de votre routeur dispose déjà d’un nouveau micrologiciel pour votre modèle. Pour plus de facilité, voici les liens vers les pages d’assistance des grandes marques :

Que faire si vous n’avez pas reçu de mises à jour sur votre appareil ou votre routeur ? Dans ce cas, il existe des solutions moins triviales pour les utilisateurs communs :

Utilisez un VPN pour crypter tout le trafic entre l’appareil et le routeur. Cependant, ils coûtent quelques euros par mois. La plupart des VPN gratuits sont remarquablement peu sûrs ou bien ils vendent vos données, et ne feraient qu’aggraver la situation ;

Arrêtez de vous connecter via le Wi-Fi et revenez au câble Ethernet. ¯_( ?)_/¯

Comment partager le mot de passe Wi-Fi comme code QR sur l'iOS

Qu’est-ce qui n’est PAS protégé ?

Comme la panne permet de réinitialiser une deuxième clé de cryptage qui protège les données d’une connexion Wi-Fi avec WPA2, inutile :

Changez le mot de passe de votre réseau Wi-Fi, car il n’est pas nécessaire pour l’attaque (cependant, si vous utilisez une combinaison facile, il vaut mieux prendre quelques minutes maintenant pour le changer) ;

Remplacez le protocole WPA2 par WEP ou WPA, car WEP n’est pas sûr depuis ma naissance, et WPA et WPA2 sont tous deux concernés (ainsi que leurs acronymes PSK, AES, CCMP, GCMP, TKIP, PQP et autres) ;

Sur les sites de technologie plus spécialisée, comme la tuberculose, il est courant que les utilisateurs avancés pensent être protégés en adoptant certaines techniques de sécurité. En fait, comme le montre Decent Security, les pratiques suivantes ne donnent qu’un faux sentiment de protection :

Cachez le SSID (nom du réseau), ce qui transforme votre réseau Wi-Fi en un réseau caché. De toute façon, il est facile de le trouver ;

Filtrer l’accès Wi-Fi par les adresses MAC, en ne permettant que certains appareils de se connecter au réseau. Il est également facile de contourner ce mécanisme (et il est extrêmement ennuyeux de le mettre en place).

Les portes de Google+ s'ouvrent aux adolescents

Ce qui ne protège pas directement, mais c’est une bonne idée

Bien que la défaillance affecte le protocole WPA2 dans son ensemble, certaines technologies aggravent encore le problème. Si vous utilisez l’authentification TKIP, par exemple, les vulnérabilités vous permettent non seulement d’intercepter la connexion, mais aussi d’injecter des contenus malveillants à votre insu.

Ensuite, rendez-vous sur la page d’administration de votre routeur (généralement http://192.168.1.1 ou http://10.1.1.1) et :

Désactiver la technologie WPS (Wi-Fi Protected Setup), qui vous permet de connecter automatiquement un appareil en appuyant sur un bouton arrière du routeur. Il est considéré comme dangereux depuis un certain temps ;

Ceci s’adresse tout particulièrement à vous qui avez entré “admin” pour accéder à la page de configuration : changez ce mot de passe administrateur par défaut, car les codes malveillants sur les sites peuvent modifier silencieusement les paramètres de votre routeur ;

Dans les paramètres de sécurité Wi-Fi (probablement là où vous définissez le nom du réseau et le mot de passe), vous pouvez choisir une technologie de cryptage telle que AES (CCMP), TKIP ou les deux. L’option la moins risquée est la WPA2-PSK avec AES (CCMP) forcé.