D\u00e9couvertes et baptis\u00e9es par Mathy Vanhoef (Universit\u00e9 de New York Abu Dhabi) le 11 mai 2021, les FragAttacks (fragmentation and aggregation attacks) sont un regroupement d\u2019une douzaine de failles qui affectent non seulement le protocole WEP mais aussi d\u2019autres protocoles r\u00e9cents tels que le WPA3. Les vuln\u00e9rabilit\u00e9s d\u00e9couvertes se situant principalement dans les \u00e9changes avec notamment l\u2019ajout ou la modification d\u2019informations, l\u2019ensemble des terminaux connect\u00e9s sur le r\u00e9seau sont donc vuln\u00e9rables.<\/p>\n\n\n\n
Selon les recherches de Mathy Vanhoef, trois des vuln\u00e9rabilit\u00e9s sont des d\u00e9fauts de conception de la norme 802.11. Le chercheur a \u00e9galement pr\u00e9cis\u00e9 que ces failles sont cependant complexes \u00e0 exploiter. Toutefois, il attire l\u2019attention sur les failles li\u00e9es aux d\u00e9fauts d\u2019impl\u00e9mentation du WiFi au niveau des terminaux \u00e9tant donn\u00e9 que ces derniers peuvent \u00eatre directement expos\u00e9s.<\/p>\n\n\n\n
Je vais pr\u00e9senter succinctement ci-dessous les 3 d\u00e9fauts de conceptions de la norme 802.11, pour aller plus en d\u00e9tail je vous invite \u00e0 lire le d\u00e9tail des informations transmises par Mathy Vanhoef.<\/p>\n\n\n\n
1- L\u2019attaque par agr\u00e9gation (CVE-2020-24588)<\/strong><\/p>\n\n\n\n Le premier d\u00e9faut de conception se situe au niveau de l\u2019en-t\u00eate 802.11 et plus particuli\u00e8rement sur le flag \u201cis aggregated\u201d, qui lors de la transmission de la trame n\u2019est ni authentifi\u00e9, ni encrypt\u00e9. Un attaquant peut par cons\u00e9quent modifier ce champ et ainsi permettre une injection de paquet. L\u2019un des cas d\u2019attaques serait par exemple de transmettre \u00e0 un client un serveur DNS malicieux. Apr\u00e8s de nombreux tests r\u00e9alis\u00e9s par Mathy Vanhoef, il a \u00e9t\u00e9 remarqu\u00e9 que tous les \u00e9quipements sont vuln\u00e9rables \u00e0 cette attaque.<\/p>\n\n\n\n 2- L\u2019attaque \u00e0 cl\u00e9 mixte (CVE-2020-24587)<\/strong><\/p>\n\n\n\n Le deuxi\u00e8me d\u00e9faut de conception au niveau du Wi-Fi se trouve au niveau de la fonction de fragmentation des trames. Cette fonctionnalit\u00e9, permet en principe, la fiabilit\u00e9 de la connexion \u00e0 travers la division des grandes trames en de petits fragments. Ainsi, une m\u00eame cl\u00e9 est utilis\u00e9e pour chiffrer chaque fragment d\u2019une m\u00eame trame. Toutefois, les r\u00e9cepteurs n\u2019\u00e9tant pas dans l\u2019obligation de v\u00e9rifier les cl\u00e9s, pourraient rassembler des fragments d\u00e9chiffr\u00e9s gr\u00e2ce \u00e0 des cl\u00e9s diff\u00e9rentes. M\u00eame si les cas sont rares, il est tout de m\u00eame possible d\u2019exploiter cette faille pour exfiltrer des donn\u00e9es. Pour y parvenir, il faut m\u00e9langer des fragments chiffr\u00e9s avec diff\u00e9rentes cl\u00e9s.<\/p>\n\n\n\n Il faut dire que ce d\u00e9faut de conception est corrigeable de fa\u00e7on r\u00e9trocompatible \u00e0 travers un rassemblement exclusif des fragments qui ont \u00e9t\u00e9 d\u00e9chiffr\u00e9s avec une m\u00eame cl\u00e9. Cette attaque \u00e9tant relativement rare, on la classe dans le lot des \u00ab attaques th\u00e9oriques \u00bb.<\/p>\n\n\n\n 3- L\u2019attaque de fragment de cache (CVE-2020-24586)<\/strong><\/p>\n\n\n\n Le troisi\u00e8me d\u00e9faut de conception du Wi-Fi tout comme le deuxi\u00e8me, est au niveau de la fonction de fragmentation de trame. Le probl\u00e8me r\u00e9side dans le fait que lorsqu\u2019un utilisateur se d\u00e9connecte du r\u00e9seau, le p\u00e9riph\u00e9rique Wi-Fi ne supprime pas forc\u00e9ment les fragments de la m\u00e9moire, qui sont rest\u00e9s non rassembl\u00e9s. Ceci peut occasionner des abus notamment au niveau des r\u00e9seaux de type hotspot . Ce d\u00e9faut de conception peut occasionner une exfiltration des donn\u00e9es \u00e0 travers l\u2019injection dans le \u00ab cache de fragments \u00bb d\u2019un fragment malveillant. Ainsi, lors de l\u2019envoi d\u2019une trame fragment\u00e9e par la victime apr\u00e8s connexion au point d\u2019acc\u00e8s, les fragments s\u00e9lectionn\u00e9s sont combin\u00e9s \u00e0 ceux inject\u00e9s par l\u2019adversaire. Ce d\u00e9faut de conception est corrigeable de mani\u00e8re r\u00e9trocompatible. Pour y parvenir, il suffit de supprimer les fragments lors de la \u00ab reconnexion \u00bb ou de la d\u00e9connexion \u00e0 un r\u00e9seau.<\/p>\n\n\n\n 4- Quelques autres cas<\/strong><\/p>\n\n\n\n Une autre faille qu\u2019il est important de noter est celle remarqu\u00e9e sur certains routeurs qui transf\u00e8rent les trames EAPOL \u00e0 un autre client avant m\u00eame que l\u2019exp\u00e9diteur ne s\u2019authentifie. \u00c0 travers cette vuln\u00e9rabilit\u00e9, des attaques peuvent \u00eatre effectu\u00e9es par agr\u00e9gation en injectant des trames arbitraires sans aucune interaction de l\u2019utilisateur. L\u2019autre d\u00e9faut d\u2019impl\u00e9mentation qui est tr\u00e8s fr\u00e9quent concerne les r\u00e9cepteurs qui ne v\u00e9rifient pas que tous les fragments appartiennent \u00e0 la m\u00eame trame. Cette faille peut permettre de former d\u2019autres trames qui proviennent du m\u00e9lange de deux diff\u00e9rentes trames. Certains p\u00e9riph\u00e9riques ne prennent pas en charge l\u2019agr\u00e9gation ou la fragmentation, mais restent tout de m\u00eame vuln\u00e9rables aux attaques \u00e9tant donn\u00e9 qu\u2019ils consid\u00e8rent les trames fragment\u00e9es comme \u00e9tant des trames compl\u00e8tes. Il est possible que cette faille puisse \u00eatre utilis\u00e9e pour injecter des paquets.<\/p>\n\n\n\n