(MàJ) Sécurité : la fonctionnalité WPS des routeurs remise en cause

Mise à jour : 

Conformément à ce que le chercheur avait annoncé, un outil est disponible pour tester la vulnérabilité de votre routeur avec la fonctionnalité WPS. Pour le télécharger, cela se passe par ici. Cependant, il annonce sur son blog que cet utilitaire ne devrait pas fonctionner avec tous les modèles disponibles sur le marché.



Première Publication le 28 décembre 2011 à 18h30 :
 

Le WPS, ou Wi-Fi Protected Set-Up, est une fonctionnalité apparue au sein de nombreux routeurs / point d'accès sans fil depuis quelques années. Ratifiée par la Wi-Fi Alliance, elle permet de relier rapidement deux appareils compatibles sans devoir taper un mot de passe compliqué. Un chercheur américain vient de mettre à mal la sécurité de cette procédure, et de nombreux constructeurs semblent touchés par ce problème.

Netgear Routeur Wi-Fi Dual Band WNDR3700

Derrière cette authentification simplifiée se cache un mot de passe à huit caractères, très ressemblant à un code PIN. Cependant, lorsque l'on entre un mot de passe erroné, quasiment tous les routeurs retournent à l'utilisateur si les quatre premiers caractères du mot de passe sont corrects ou pas.

Il suffit donc de commencer par chercher les quatre premiers caractères (peu importe les quatre derniers), puis une fois le début de la chaine identifiée, de passer aux quatre derniers. Cette faille réduirait radicalement le temps d'action lorsqu'une attaque par « force brute » est lancée.

Le seul moyen de se protéger serait, d'après l'auteur de la découverte, que les constructeurs planchent sur de nouveaux firmwares pour bloquer cette réponse partielle. En attendant, il conseille de désactiver cette fonctionnalité pourtant bien pratique.

Le chercheur annonce d'ailleurs sur son blog qu'il devrait diffuser rapidement un outil permettant de connaître la vulnérabilité de son routeur. Sachez d'ailleurs que certaines marques bien connues comme Netgear, Linksys, Belkin ou plus proches de nous, Technicolor (ex Thomson, fabriquant certaines de nos box ADSL) sont répertoriées comme potentiellement touchées par cette vulnérabilité. 

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !