Une faille dans le protocole WiFi permet à des pirates de détourner le trafic réseau

Des chercheurs en cybersécurité ont découvert une faille de sécurité fondamentale dans la conception de la norme de protocole WiFi IEEE 802.11, qui permet aux attaquants de tromper les points d’accès en laissant filtrer des trames réseau en clair.

Les trames WiFi sont des conteneurs de données composés d’un en-tête, d’une charge utile et d’une fin, qui comprennent des informations telles que l’adresse MAC de la source et de la destination, ainsi que des données de contrôle et de gestion.

Ces trames sont placées dans des files d’attente et transmises de manière contrôlée afin d’éviter les collisions et de maximiser les performances de l’échange de données en surveillant les états d’occupation et d’inactivité des points de réception.

Les chercheurs ont constaté que les trames mises en file d’attente ou en mémoire tampon ne sont pas suffisamment protégées contre les adversaires, qui peuvent manipuler la transmission des données, l’usurpation d’identité des clients, la redirection des trames et la capture.

“Nos attaques ont un impact considérable car elles affectent divers appareils et systèmes d’exploitation (Linux, FreeBSD, iOS et Android) et parce qu’elles peuvent être utilisées pour détourner des connexions TCP ou intercepter le trafic client et web”, peut-on lire dans l’article technique publié hier par Domien Schepers et Aanjhan Ranganathan de la Northeastern University, et Mathy Vanhoef de l’imec-DistriNet et de l’Université catholique de Louvain.

Défaut d’économie d’énergie

La norme IEEE 802.11 comprend des mécanismes d’économie d’énergie qui permettent aux appareils WiFi d’économiser de l’énergie en mettant en mémoire tampon ou en file d’attente les trames destinées aux appareils endormis.

Lorsqu’une station client (appareil récepteur) passe en mode veille, elle envoie au point d’accès une trame dont l’en-tête contient le bit d’économie d’énergie, de sorte que toutes les trames qui lui sont destinées sont placées dans la file d’attente.

La norme ne fournit toutefois pas d’indications explicites sur la gestion de la sécurité de ces trames en file d’attente et ne fixe pas de limites quant à la durée pendant laquelle les trames peuvent rester dans cet état.

Lorsque la station client se réveille, le point d’accès déstocke les trames mises en mémoire tampon, applique le chiffrement et les transmet à la destination.

Un pirate peut usurper l’adresse MAC d’un appareil sur le réseau et envoyer des trames d’économie d’énergie aux points d’accès, les obligeant à commencer à mettre en file d’attente les trames destinées à la cible. Il transmet ensuite une trame de réveil pour récupérer la pile de trames.

Les trames transmises sont généralement chiffrées à l’aide de la clé de chiffrement à adresse de groupe, partagée entre tous les appareils du réseau WiFi, ou d’une clé de chiffrement par paire, qui est propre à chaque appareil et utilisée pour chiffrer les trames échangées entre deux appareils.

Toutefois, l’attaquant peut modifier le contexte de sécurité des trames en envoyant des trames d’authentification et d’association au point d’accès, le forçant ainsi à transmettre les trames en clair ou à les chiffrer avec une clé fournie par l’attaquant.

Cette attaque est possible grâce à des outils personnalisés créés par les chercheurs, appelés MacStealer, qui peuvent tester les réseaux WiFi pour détecter les contournements d’isolation des clients et intercepter le trafic destiné à d’autres clients au niveau de la couche MAC.

Les chercheurs signalent que des modèles d’appareils réseau de Lancom, Aruba, Cisco, Asus et D-Link sont connus pour être affectés par ces attaques, avec la liste complète ci-dessous.

Les chercheurs avertissent que ces attaques pourraient être utilisées pour injecter du contenu malveillant, tel que du JavaScript, dans les paquets TCP.

“Un adversaire peut utiliser son propre serveur connecté à Internet pour injecter des données dans cette connexion TCP en injectant des paquets TCP hors chemin avec une adresse IP d’expéditeur usurpée”, avertissent les chercheurs.

“Cela peut, par exemple, être utilisé pour envoyer du code JavaScript malveillant à la victime dans des connexions HTTP en clair, dans le but d’exploiter les vulnérabilités du navigateur du client

Bien que cette attaque puisse également être utilisée pour espionner le trafic, comme la plupart du trafic web est crypté à l’aide de TLS, l’impact serait limité.

Les détails techniques et la recherche sont disponibles dans le document USENIX Security 2023, qui sera présenté lors de la prochaine conférence BlackHat Asia le 12 mai 2023.

Cisco reconnaît la faille

Le premier fournisseur à reconnaître l’impact de la faille du protocole WiFi est Cisco, qui admet que les attaques décrites dans le document peuvent réussir contre les produits Cisco Wireless Access Point et les produits Cisco Meraki dotés de capacités sans fil.

Toutefois, Cisco estime qu’il est peu probable que les trames récupérées compromettent la sécurité globale d’un réseau correctement sécurisé.

“Cette attaque est considérée comme une attaque opportuniste, et les informations obtenues par l’attaquant seraient d’une valeur minimale dans un réseau configuré de manière sécurisée” – Cisco.

L’entreprise recommande néanmoins d’appliquer des mesures d’atténuation telles que l’utilisation de mécanismes d’application de politiques par le biais d’un système comme Cisco Identity Services Engine (ISE), qui peut restreindre l’accès au réseau en mettant en œuvre les technologies Cisco TrustSec ou Software Defined Access (SDA).

“Cisco recommande également de mettre en œuvre la sécurité de la couche transport pour crypter les données en transit chaque fois que cela est possible, car cela rendrait les données acquises inutilisables par l’attaquant”, peut-on lire dans l’avis de sécurité de Cisco.

À l’heure actuelle, il n’existe aucun cas connu d’utilisation malveillante de la faille découverte par les chercheurs.