À mon avis, ce type d’attaque semble n’être possible que si l’attaquant est déjà connecté au réseau de la victime
Dans la plupart des cas, cela ressemble à des attaques connues depuis longtemps dans des environnements de Wi-Fi partagé comme les aéroports ou les cafés
La nouveauté est qu’elles exploitent une faille d’implémentation où certains routeurs ne séparent pas correctement le trafic entre réseau invité et réseau principal
L’attaquant n’a pas besoin d’être connecté au réseau de la victime, il suffit d’être connecté au même matériel
Comme dans le cas d’Eduroam, l’attaquant peut intercepter les paquets d’un utilisateur Eduroam via le réseau invité du même point d’accès, même sans identifiants Eduroam
S’il n’existe qu’un seul réseau authentifié, cette perte d’isolation n’a pas vraiment de sens, tout comme une évasion de sandbox du navigateur est sans importance si l’on ne visite qu’un seul site de confiance
En tant que co-auteur de l’article, je pense que l’expression « casser le chiffrement Wi-Fi » est trompeuse
En réalité, cela permet de contourner l’isolation client
Il y a aussi eu des cas sur le Wi-Fi ouvert d’universités où le trafic d’autres réseaux, y compris des SSID Enterprise, a pu être intercepté
On ne « casse » pas le chiffrement, on le « contourne »
Un routeur domestique avec un seul SSID reste sûr
Je me demande ce qu’il en est de cas comme XFinity, où du Wi-Fi financé par les abonnés est partagé à l’échelle d’une ville
Je vois ça de la même manière. C’est un problème dans les environnements qui reposent sur l’isolation client, mais l’impact est limité pour l’utilisateur moyen
La plupart des cookies d’authentification sont protégés par TLS, donc le risque réel reste limité
Un AP diffuse en même temps sur 2,4 GHz et 5 GHz avec plusieurs BSSID, et si la vérification des doublons MAC ou le partage de la GTK en WPA2-PSK est faible, l’attaque devient facile
Le vieux matériel, surtout les équipements d’avant 802.11w, restera probablement vulnérable pour toujours
AirSnitch exploite des fonctions fondamentales des couches 1 à 2 du Wi-Fi pour tirer parti d’un échec de synchronisation entre clients
L’attaquant peut faire du MitM bidirectionnel non seulement sur le même SSID, mais aussi entre différents SSID ou segments réseau
J’ai connu ce genre de choses dès l’époque du WEP au début des années 2000, donc je n’utilise plus du tout le Wi-Fi aujourd’hui
Ruban adhésif sur la caméra, antennes retirées, et même plus d’e-mail
Au final, je pense que seuls le cuivre ou la fibre optique constituent un vrai moyen de sécurité
On dit que tu aimerais probablement le film The Conversation de 1974
J’ai une approche similaire. Je sépare le Wi-Fi sur un sous-réseau distinct, j’utilise GrapheneOS et j’ai retiré autant de micros matériels que possible
L’isolation client est en réalité une fonctionnalité assez contraignante
Les fabricants supposent que tous les appareils communiqueront entre eux sur un grand réseau unique, mais avec l’isolation, des appareils comme les lumières Elgato ou Chromecast cessent de fonctionner
Malgré tout, je préfère ça au fait qu’un inconnu à l’hôtel puisse contrôler mon Chromecast
C’est pourquoi je voyage toujours avec un routeur de voyage basé sur OpenWRT, afin que mes appareils fonctionnent partout comme à la maison
Même sans isolation client, il m’est arrivé que la découverte d’appareils ne fonctionne pas parce que les broadcasts entre filaire et sans fil n’étaient pas pontés
C’est justement le but initial de l’isolation client : empêcher ce type de mauvais usage des objets connectés
Dans un dortoir ou sur un réseau partagé, c’est contraignant, mais cela évite qu’un tiers contrôle mes appareils ou propage un malware
Il serait pratique d’avoir des exceptions pour certains protocoles ou plages IP, mais cela augmenterait d’autant le risque de fuite de données
Le titre de l’article semble un peu exagéré
Il ne s’agit pas de casser le chiffrement Wi-Fi, mais seulement de neutraliser l’isolation entre appareils sur un même réseau
Mais comme beaucoup d’entreprises, d’universités et d’administrations s’appuient sur l’isolation client pour segmenter leurs réseaux, c’est un problème grave pour elles
En tant que co-auteur de l’article, il insiste sur le fait que « bypass » est plus exact que « break »
Après lecture de l’article, il semble que la plupart des Wi-Fi domestiques soient vulnérables, car ils partagent le même SSID entre 2,4 GHz et 5 GHz
L’authentification Radius pourrait aussi être partiellement concernée
La mesure d’atténuation consiste à n’utiliser que des AP avec une seule adresse MAC
Avec EAP-TLS, on est en sécurité, mais il faut toujours une séparation par VLAN
Certains pensent qu’on est en sécurité chez soi s’il n’y a pas de réseau invité
L’attaquant doit au minimum être authentifié sur l’un des réseaux, donc un acteur totalement externe ne peut pas le faire
EAP-TLS est solide, mais il n’empêche pas les attaques latérales venant d’autres appareils authentifiés sur le même AP
Chez Supernetworks.org, où je travaille, nous proposons des VLAN et mots de passe par appareil
C’est vraiment un gros problème
Lorsqu’il existe plusieurs réseaux Wi-Fi différents sur un même AP, un client d’un réseau peut faire du MITM sur le trafic d’un autre
La plupart des Wi-Fi d’entreprise reposent sur ce type d’isolation
Donc si je suis connecté au réseau invité, cela signifie que je peux lire le trafic du réseau d’entreprise
Le vrai problème, c’est qu’en pratique beaucoup d’AP n’offrent que plusieurs SSID sans spécification claire garantissant une isolation L2/L3
L’un des auteurs du papier participe directement à la discussion dans le fil Hacker News
Après avoir lu le papier jusqu’au bout, le point essentiel semble être que si l’on a un seul réseau protégé par un mot de passe fort, AirSnitch ne représente pas une menace majeure
En revanche, si le réseau sécurisé et le réseau invité partagent le même AP, alors le réseau invité peut accéder aux clients du réseau sécurisé
C’est parfois difficile à désactiver, comme avec le réseau invité automatique de Xfinity
Cette attaque fonctionne essentiellement sur un seul SSID
On peut l’atténuer avec Private-PSK/Dynamic-PSK ou avec des attributs VLAN EAP/Radius
Avec WPA3/SAE, c’est plus complexe, et la plupart des équipements ne le prennent pas encore en charge
Hostapd prend désormais en charge les mots de passe multiples en WPA3
Le projet spr-networks/super implémente déjà des PSK + VLAN par appareil
En revanche, le déploiement réel est compliqué par la synchronisation Keychain des appareils Apple et la randomisation des adresses MAC, et la structure même de SAE rend difficile l’essai simultané de plusieurs mots de passe
Je cherche une recommandation de pare-feu pour macOS
Le pare-feu intégré est quasiment inutilisable, et si l’isolation client peut être contournée, un pare-feu local devient encore plus important
J’ai des serveurs de dev bindés sur 0.0.0.0 et je veux être sûr que les ports sont fermés quand je me connecte à un Wi-Fi public
Little Snitch est le plus connu, développé par des gens qui comprennent en profondeur l’architecture du pare-feu macOS Site officiel
1 commentaires
Avis sur Hacker News
À mon avis, ce type d’attaque semble n’être possible que si l’attaquant est déjà connecté au réseau de la victime
Dans la plupart des cas, cela ressemble à des attaques connues depuis longtemps dans des environnements de Wi-Fi partagé comme les aéroports ou les cafés
La nouveauté est qu’elles exploitent une faille d’implémentation où certains routeurs ne séparent pas correctement le trafic entre réseau invité et réseau principal
Comme dans le cas d’Eduroam, l’attaquant peut intercepter les paquets d’un utilisateur Eduroam via le réseau invité du même point d’accès, même sans identifiants Eduroam
S’il n’existe qu’un seul réseau authentifié, cette perte d’isolation n’a pas vraiment de sens, tout comme une évasion de sandbox du navigateur est sans importance si l’on ne visite qu’un seul site de confiance
En réalité, cela permet de contourner l’isolation client
Il y a aussi eu des cas sur le Wi-Fi ouvert d’universités où le trafic d’autres réseaux, y compris des SSID Enterprise, a pu être intercepté
On ne « casse » pas le chiffrement, on le « contourne »
Un routeur domestique avec un seul SSID reste sûr
La plupart des cookies d’authentification sont protégés par TLS, donc le risque réel reste limité
Le vieux matériel, surtout les équipements d’avant 802.11w, restera probablement vulnérable pour toujours
AirSnitch exploite des fonctions fondamentales des couches 1 à 2 du Wi-Fi pour tirer parti d’un échec de synchronisation entre clients
L’attaquant peut faire du MitM bidirectionnel non seulement sur le même SSID, mais aussi entre différents SSID ou segments réseau
J’ai connu ce genre de choses dès l’époque du WEP au début des années 2000, donc je n’utilise plus du tout le Wi-Fi aujourd’hui
Ruban adhésif sur la caméra, antennes retirées, et même plus d’e-mail
Au final, je pense que seuls le cuivre ou la fibre optique constituent un vrai moyen de sécurité
L’isolation client est en réalité une fonctionnalité assez contraignante
Les fabricants supposent que tous les appareils communiqueront entre eux sur un grand réseau unique, mais avec l’isolation, des appareils comme les lumières Elgato ou Chromecast cessent de fonctionner
C’est pourquoi je voyage toujours avec un routeur de voyage basé sur OpenWRT, afin que mes appareils fonctionnent partout comme à la maison
Dans un dortoir ou sur un réseau partagé, c’est contraignant, mais cela évite qu’un tiers contrôle mes appareils ou propage un malware
Le titre de l’article semble un peu exagéré
Il ne s’agit pas de casser le chiffrement Wi-Fi, mais seulement de neutraliser l’isolation entre appareils sur un même réseau
Après lecture de l’article, il semble que la plupart des Wi-Fi domestiques soient vulnérables, car ils partagent le même SSID entre 2,4 GHz et 5 GHz
L’authentification Radius pourrait aussi être partiellement concernée
La mesure d’atténuation consiste à n’utiliser que des AP avec une seule adresse MAC
Avec EAP-TLS, on est en sécurité, mais il faut toujours une séparation par VLAN
Chez Supernetworks.org, où je travaille, nous proposons des VLAN et mots de passe par appareil
C’est vraiment un gros problème
Lorsqu’il existe plusieurs réseaux Wi-Fi différents sur un même AP, un client d’un réseau peut faire du MITM sur le trafic d’un autre
La plupart des Wi-Fi d’entreprise reposent sur ce type d’isolation
L’article mentionné est AirSnitch: Demystifying and Breaking Client Isolation in Wi-Fi Networks
Après avoir lu le papier jusqu’au bout, le point essentiel semble être que si l’on a un seul réseau protégé par un mot de passe fort, AirSnitch ne représente pas une menace majeure
C’est parfois difficile à désactiver, comme avec le réseau invité automatique de Xfinity
Cette attaque fonctionne essentiellement sur un seul SSID
On peut l’atténuer avec Private-PSK/Dynamic-PSK ou avec des attributs VLAN EAP/Radius
Avec WPA3/SAE, c’est plus complexe, et la plupart des équipements ne le prennent pas encore en charge
Le projet spr-networks/super implémente déjà des PSK + VLAN par appareil
En revanche, le déploiement réel est compliqué par la synchronisation Keychain des appareils Apple et la randomisation des adresses MAC, et la structure même de SAE rend difficile l’essai simultané de plusieurs mots de passe
Je cherche une recommandation de pare-feu pour macOS
Le pare-feu intégré est quasiment inutilisable, et si l’isolation client peut être contournée, un pare-feu local devient encore plus important
J’ai des serveurs de dev bindés sur 0.0.0.0 et je veux être sûr que les ports sont fermés quand je me connecte à un Wi-Fi public
Site officiel