Faut-il tuer définitivement Wep... et comment
L'article de MM Tews, Weinmann et Pyshkin décrivant une nouvelle méthode d'attaque contre le protocole Wep soulève, ces jours-ci, une petite tempête de commentaires. Nous mentionnions l'analyse de Cédric « Sid » Blancher vendredi dernier, et voilà que le sujet ressurgit sur la liste Full Disclosure, sous la plume de Neal Krawetz et le titre éloquent « Weeping for Wep ».; De cette discussion ressort certains points intéressants en faveur de Wep. A commencer par les remarques relatives aux anciens équipements. Certaines vieilles Atheros « reconditionnées », des « affaires du siècle » WiFi bradées à quelques dollars pièce ou des périphériques d'ordinateurs portable impossibles à moderniser ne sont parfois pas capables de supporter les presque nouveaux protocoles tels que WPA2. Est-ce une raison pour jeter aux orties le matériel dépassé et en acheter un nouveau qui ne durera que le temps d'une nouvelle recherche en vulnérabilité ? Cet argument, qui pourrait -à raison- faire dresser les cheveux sur la tête d'un spécialiste sécurité, est pourtant tenu par des milliers de consommateurs, à qui échappe la subtile différence technique entre deux sigles débutant par la lettre « W ». ( NdlC Note de la Correctrice : par ordre d'entrée en scène, mon beauf, mon voisin, mon médecin protégé par Saint Norton, l'institutrice de mon petit dernier...) Par ailleurs, explique celui par qui la polémique est née, la sécurité est une pratique, pas une recette unique. Une habitation Wifiisée perdue au milieu des bois risque moins l'attaque d'un pirate qu'un pavillon de banlieue, donc Wep s'avère là amplement suffisant. A ceci, l'on peut opposer plusieurs contre-arguments : d'une part, le WiFi des villes est statistiquement plus à l'abri de méfaits du Wardriving que le WiFi des champs, protégé d'une part par le foisonnement de points d'accès potentiellement vulnérables (la technique du « banc de poisson » qui déroute le prédateur) et d'autre part immunisé contre ces attaques par le simple fait qu'il existe encore assez de points d'accès dénués de protection pour que les pirates ne perdent pas leur temps à installer un Aircrack. Ergo, pourquoi ne pas utiliser ce bon vieux Wep, troué, antique, mais amplement suffisant pour éviter l'intrusion d'un voisin, volontaire ou non. En outre, la distance et l'isolement ne sont pas des garanties de sécurité. Si ce qui est supposément accessible sur le réseau visé est assez intéressant et lucratif pour un attaquant, il parviendra bien à améliorer la partie « radio » de ses équipements d'écoute WiFi (antenne, amplificateur faible bruit...). En outre, l'écoute d'un point d'accès isolé est plus aisé puisque plus facile à discriminer. Notons au passage que bien souvent, les experts du cassage de code sont hélas de bien piètres radioélectroniciens (et vice-versa)... la légende de la boîte de Pringles et de l'antenne « bricolée vite fait » est un mythe aussi difficile à trucider que Wep lui-même. Sur 2,4 ou 5 GHz, gagner 3dB nécessite souvent des journées entières de calculs, de tests, de comparaisons, de connaissances des lois physiques. C'est donc un travail qui, sans être redoutablement complexe, est au moins comparable à celui exigé par l'usage et la compréhension d'un logiciel « wepcracker ». Inutile de préciser, rétorquent les défenseurs du Wep, qu'un « WPA professionnel » accompagné d'un serveur RADIUS dépasse souvent, et de très loin, les compétences techniques ou financières de l'homo informaticus normal... tout comme il dépasse les intérêts des fournisseurs d'accès à Internet. Tant que l'ajout d'un nouveau service ne génère pas de profit direct ou n'améliore pas la sécurité « intrinsèque » d'un FAI, c'est bien connu, « çà » n'intéresse pas les clients ou c'est « bien trop compliqué pour être utilisé ». Il est vrai que ces stupides utilisateurs ne savent se servir d'un certificat que lorsqu'il est expédié par le Ministère des Finances ou par leur propre banquier. Toujours au chapitre de la simplicité, l'un des protagonistes du F.D. fait remarquer qu'une « phrase de passe » WPA2 un peu élaborée est plus simple à utiliser et à mémoriser qu'une clef Wep. Le point est indiscutable. Mais il est des moments ou Wep est nécessaire, obligatoire même. C'est le cas, par exemple, des réseaux utilisant des transpondeurs en mode WDS avec des équipements hétérogènes. Parfois, souvent même, WPA « ne passe pas », limitation probablement due à de subtiles différences d'implémentation. Ajoutons également que dans la plupart des cas, Wep demeure le protocole de protection paramétré par défaut sur les routeurs DSL français. Comment peut-on militer pour l'enterrement d'un outil dépassé, alors que ceux-là même qui diffusent des routeurs WiFi avec leurs abonnement DSL, ces parangons de sécurité -vendeurs d'abonnement antivirus au mois- imposent l'habitude du Wep, tout en jurant que c'est là une garantie de protection efficace ? Que dire enfin, ajoute Neal Krawetz, des hôtels, hot-spots d'aéroport et autres routeurs pour accès temporaire ? Dans la plupart des cas, c'est le protocole Wep qui est imposé (ndlr aux Etats-Unis doit-on préciser, car en France, l'on privilégie généralement les VPN). Et là, le danger est considérablement plus important, car il se traite, dans les chambres des Mariott et autres Hilton, des affaires assez intéressantes pour exciter la curiosité d'espions industriels ou d'escrocs à la petite semaine. Pour paraphraser Cédric Blancher, le moyen le plus rapide de faire mourir un crucifié par asphyxie, c'est de lui briser les jambes avant la mise en croix. Les clous ne suffisent pas... à moins que l'on ait un quelconque intérêt à voir le supplice s'éterniser.