Une nouvelle méthode dévoilée lors de la conférence PacSec à Tokyo permet de pirater le protocole de cryptage (En cryptographie, le chiffrement (parfois appelé à tort cryptage) est le procédé grâce auquel on peut rendre la...) Wi-Fi (Le wifi ou wi-fi (prononcé /wifi/) est une technologie de réseau informatique sans fil mise en place pour fonctionner...) WPA (Wi-Fi Protected Access (WPA et WPA2) est un mécanisme pour sécuriser les réseaux sans-fil de type Wi-Fi. Ils ont été...) en TKIP (Temporal Key Integrity Protocol). Cette attaque permet de lire les données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose,...) transitant dans le sens routeur (Un routeur est un matériel de communication de réseau informatique destiné au routage. Son travail est de limiter les...) vers PC sur les réseaux Wi-Fi en moins de 15 mn. La version AES n'est pas concernée.
Jusqu'à maintenant, il était possible de déterminer les clés WPA avec une méthode d'attaque par force (Le mot force peut désigner un pouvoir mécanique sur les choses, et aussi, métaphoriquement, un pouvoir de la volonté ou...) brute, en utilisant un dictionnaire pour deviner une clé. La nouvelle méthode n'utilise plus de dictionnaire. Il suffit que le routeur envoie beaucoup de données au PC pour exploiter la faille.
Le WPA est donc la cible de nouvelles attaques. Plusieurs solutions permettent de limiter ces failles: passer au cryptage en AES, utiliser le WPA2 ou utiliser une clé longue (24 caractères) en mode WPA TKIP.
De son coté, le cryptage WEP est encore plus fragile: il ne faut plus que 24 000 paquets, soit environ 50 % de paquets en moins, pour faire sauter la protection. La technique a été améliorée et optimisée par Erik Tews et Martin Beck, les auteurs de la nouvelle attaque sur le WPA.
Aux Etats-Unis, de nombreux commerces continuent d'utiliser un réseau Wi-Fi sécurisé par du WEP pour la transmission de données sensibles, comme les numéros de cartes bancaires. Il leur sera interdit de déployer de nouveaux systèmes dès le 1er avril 2009 et interdit d'utiliser ces systèmes à partir du 30 juin 2010.
Aucun commentaire:
Enregistrer un commentaire