mercredi 16 octobre 2019    || Inscription
BanniereNews
 
 

Un chercheur suisse vient de démontrer une nouvelle faille cet été lors de la PasswordsCon de Las Vegas. Certains routeurs WiFi sont accessibles en quelques secondes à cause d’une faille dans le choix des codes clefs utilisés pour se connecter.

A l’origine, Stefan Viehböck publie à la fin de l’année 2011 ses travaux sur un certain nombre de failles existant dans le mode Wifi Protected Steup mais, plus spécifiquement, il montre que le code PIN requis pour paramétrer un routeur WiFi peut être découpé en plusieurs parties et chacune attaquée séparément. En procédant ainsi, M. Viehböck arrive à descendre le nombre de tentatives de 100 millions à 11 000, soit un nombre très faible pour une technologie de ce type. Avec un ordinateur de capacité moyenne, il faut environ 4 heures d’attaque en force brute pour extirper le bon numéro et ainsi se connecter au routeur WiFi avec toutes les conséquences que cela permet.

Se connecter en quelques secondes

Mais le suisse Dominique Bongard vient d’aller encore plus loin. Il a découvert que l’absence ou plus exactement le très faible hasard laissé dans le choix des clefs de connexion avec au moins deux routeurs permet de se connecter manuellement (c’est-à-dire sans attaque en force brute) en quelques secondes. C’est le cas pour les routeurs Broadcom et pour un autre fabricant que M. Bongard n’a pas voulu nommer lui laissant la possibilité de corriger cette faille. De son côté Broadcom semble faire le mort et c’est pour cette raison que M. Bongard a publié son nom.

Selon lui, ce n’est pas la technologie qui est en cause mais la manière dont elle a été implémentée par les deux fabricants... Dans le cas de Broadcom, la « randomization » des nombres est on ne peut plus simple et dans le second cas, c’est encore pire car il s’agit d’une suite de 0.




Autres News Gestion des accès

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI

BLOCKCHAIN

Conférence et exposition sur les applications d'entreprise de la blockchain à Paris, cité universitaire internationale, les 13 et 14 novembre 2019. Organisés par Corp Agency.

TRUSTECH

Cet événement international dédié aux paiements, à l'identification et à la sécurité est organisé à Cannes (palais des festivals) du 26 au 28 novembre 2019. Organisé par Comexposium.

FIC

Ayant pour thème cette année "Replacer l'humain au coeur de la cybersécurité", le Forum International de la Cybersécurité occupe les 28, 29 et 30 janvier 2020 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

RSS