- Status Closed
- Percent Complete
- Task Type Anomalie
- Category LAN → WiFi
-
Assigned To
mbizon - Operating System Tous
- Severity Critical
- Priority Very Low
- Reported Version 3.4.1
- Due in Version Undecided
-
Due Date
Undecided
-
Votes
6
- Neustradamus (02/03/2018)
- Big. (31/01/2018)
- Gecko (14/12/2017)
- PotamLand (18/10/2017)
- quentin.casasnovas (18/10/2017)
- rdeltour (16/10/2017)
- Private
Attached to Project: Freebox Server (Ultra V9/ Pop V8/ Delta V7 / Revolution V6 / Mini 4K)
Opened by oremusnix - 16/10/2017
Last edited by Thibaut Freebox - 13/07/2020
Opened by oremusnix - 16/10/2017
Last edited by Thibaut Freebox - 13/07/2020
FS#21854 - Faille de sécurité dans protocole WPA2
Une faille de sécurité va être rendue publique aujourd’hui 16/10/2017 sur le protocole WPA2
CVE (pas encore publiques) : CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088
Certains fabriquants de routeurs WIFI ont émis des patchs, exemple : https://forum.mikrotik.com/viewtopic.php?f=21&t=126695
Merci d’avance pour vos efforts !
Loading...
Available keyboard shortcuts
- Alt + ⇧ Shift + l Login Dialog / Logout
- Alt + ⇧ Shift + a Add new task
- Alt + ⇧ Shift + m My searches
- Alt + ⇧ Shift + t focus taskid search
Tasklist
- o open selected task
- j move cursor down
- k move cursor up
Task Details
- n Next task
- p Previous task
- Alt + ⇧ Shift + e ↵ Enter Edit this task
- Alt + ⇧ Shift + w watch task
- Alt + ⇧ Shift + y Close Task
Task Editing
- Alt + ⇧ Shift + s save task
Le site du chercheur qui a découvert la faille est up avec des détails, papier de recherche etc. : https://www.krackattacks.com/
OpenBSD a également sorti un patch en avance de phase.
Après lecture du papier, et confirmation par la FAQ du site Krack Attacks:
Je vous confirme que nos APs ne sont pas affectés, la Freebox Crystal et la Freebox Révolution/Mini4k n'activent pas le mode FT (802.11r).
Quant à nos clients (Crystal, Mini4k), elles utilisent un VPN par dessus le wifi, donc pas grand chose à décrypter...
Ça n'est pas suffisant pour dire qu'il n'y a pas de problème avec les points d'accès freebox!
L'attaque sur le GTK (section 4) implique le point d'accès et ne nécessite pas le 802.11r. La section 4 du papier explique :
"We confirmed this attack in practice for APs that immediately install the group key after sending group message 1 (see Table 2 column 3). Based on our experiments, all Wi-Fi clients are vulnerable to this attack when connected to an AP behaving in this manner."
En ce qui concerne les "clients", il ne s'agit pas seulement d'un problème de confidentialité des données! En effet, certaines variantes de l'attaque permettent de forger et d'injecter du trafic :
"If TKIP or GCMP is used, an adversary can both decrypt and inject arbitrary packets."
oui désolé c'est un raccourci dans ma formulation, c'était après avoir vérifié que hostapd (qui est utilisé) n'était pas concerné.
La sécurité est double, non seulement les clients montent un VPN, mais l'AP ne laisse passer que ce VPN.
Nous mettrons toutefois évidemment à jour les versions de wpa_supplicant
Bonjour,
et en ce qui concerne les pc, les smartphones, les télés connectés, c'est sans danger ?
PC/smartphone/télé connectés ⇒ potentiel danger, mais pour l'instant il n'est rien possible de faire coté Freebox malheureusement.
A vous de vérifier que votre équipement est toujours supporté par le fabriquant et le mettre à jour si possible.
@mbizon: le VPN est seulement pour les services freebox (TV,enregistrement..) mais pas pour le DHCP, DNS et tout autre application ?
@David: pour tout les services en fait car il y a un SSID dédié en isolation, sans accès internet... sauf pour les mini4k qui utilisent le SSID principal, pour celles-ci nous mettrons à jour le supplicant très rapidement, il est fort heureusement à une version inférieure à celle qui a le bug de la "clé à zéro"
le VPN est seulement pour les services freebox (TV,enregistrement..) mais pas pour le DHCP, DNS et tout autre application ?
Bonne question. Si le VPN ne concerne que les services, ça laisse la place pour pas mal d'attaques.
Ça n'est pas suffisant pour dire qu'il n'y a pas de problème avec les points d'accès freebox!
L'attaque sur le GTK (section 4) implique le point d'accès et ne nécessite pas le 802.11r. La section 4 du papier explique :
"We confirmed this attack in practice for APs that immediately install the group key after sending group message 1 (see Table 2 column 3). Based on our experiments, all Wi-Fi clients are vulnerable to this attack when connected to an AP behaving in this manner."
En ce qui concerne les "clients", il ne s'agit pas seulement d'un problème de confidentialité des données! En effet, certaines variantes de l'attaque permettent de forger et d'injecter du trafic :
"If TKIP or GCMP is used, an adversary can both decrypt and inject arbitrary packets."
Veuillez ignorer mon dernier commentaire qui est un doublon de mon premier.
Si l'attaque cible bien les clients, elle permet de tromper les points d'accès.
Il devient au moins possible d'écouter le trafic, voir de s'associer au point d'accès (selon les OS et le nombre de vulnérabilités mises en jeu).
Il semble donc pertinent de chercher à mitiger les failles aussi au niveau des points d'accès.
Ce qu'on dit hélas peu, c'est que c'est le protocole WPA2 lui-même qu'on attaque, il faudra donc que le Wifi alliance fasse évoluer le protocole, et ça va prendre du temps.
ah oui clairement si il se développe la moindre technique permettant de mitiger le problème coté AP, je m'empresserai de la mettre en oeuvre. Il y a de fortes chances en effet que de nombreux clients ne soient jamais corrigés.
Bonjour,
Vous dites que le bug ne touche pas les Freebox Crystal, Révolution et 4k. Mais quand est-il de la Freebox HD ?
Crystal et HD c'est le même hardware.
" elles utilisent un VPN par dessus le wifi, donc pas grand chose à décrypter... "
Bonjour,
Pouvez-vous détailler le fonctionnement de ce dit VPN ?
Au fait, le rapport publié par upstream est probablement plus clair : https://w1.fi/security/2017-1/wpa-packet-number-reuse-with-replayed-messages.txt
Bonjour Maxime,
Vous indiquez "Je vous confirme que nos APs ne sont pas affectés, la Freebox Crystal et la Freebox Révolution/Mini4k n'activent pas le mode FT (802.11r)".
Mais quand est-il de la Freebox V5 ?
La V5 est une Cristal même hardware.
aucune faille sur freebox !
pas de wps !
Bonjour,
La solution est-elle toujours d'actualité pour une future implémentation ?
De plus en plus de produits sont patchés à ce jour...
Merci.
Il y a eu des améliorations du WiFi avec la version 3.5.x du server (v6+4K) mais est-ce que cela corrigé la faille?
Sachant qu'il faut aussi mettre à jour le côté TV (actuellement la Mini 4K est en Beta Test).
Les versions actuelles :
- 4.7.5 du 7 février 2018
- 4.8.0 RC4 du 1 mars 2018
- 4.6.13 du 14 février 2018
https://www.samba.org/
nouvelle faille sur le firmware des puces wifi marvell avastar.
https://embedi.org/blog/remotely-compromise-devices-by-using-bugs-in-marvell-avastar-wi-fi-from-zero-knowledge-to-zero-click-rce/
Du neuf à ce propos ?
WPA3 ?