Des failles de sécurité majeures découvertes dans le protocole WPA2, Réactions à la publication du 16/10/2017

[djdoxy]

[MàJ] Apple a indiqué que cette faille a déjà été comblée dans les dernières bêta de ses systèmes d'exploitation.

Et pour les autres ?
Mon iBook G4 sous 10.5 sera-t-il patché... j'en doute.
Et pourtant il marche toujours 13 ans après son achat... inutilisable pour aller sur le web, mais toujours utile avec iTunes pour télécharger des podcast pour mon ipod ou envoyer de la musique en airplay vers mon ampli.

[Albook]

[MàJ] Apple a indiqué que cette faille a déjà été comblée dans les dernières bêta de ses systèmes d'exploitation.

C'est du Apple dans le texte ! Apple le savait déjà et Apple est le plus rapide pour combler ces failles ?
Si cette faille a déjà été comblée dans les dernières bêta de ses systèmes d'exploitation, pourquoi ne proposent-ils pas un mise à jour des systèmes d'exploitation en cours ?
Faut-il que tout le monde installe les dernières bêta pour être en sécurité ?

[Jedge]

J'espère que nous aurons un patch pour les anciens OS, ças ne serait pas du luxe vu l'ampleur de cette faille.

[Licorne31]

J'espère que nous aurons un patch pour les anciens OS, ças ne serait pas du luxe vu l'ampleur de cette faille.

Un patch qui marche pour tous les OS, et qui fonctionne très bien avec mon Powerbook G4 sous Tiger :

[yponomeute]

[MàJ] Apple a indiqué que cette faille a déjà été comblée dans les dernières bêta de ses systèmes d'exploitation.

Je suis curieux de voir si une mise à jour pour les bornes Airport sera proposée

Pour info LineageOS est corrigé : https://twitter.com/lineageandroid/status/920143977256382464

[Jedge]

J'espère que nous aurons un patch pour les anciens OS, ças ne serait pas du luxe vu l'ampleur de cette faille.

Un patch qui marche pour tous les OS, et qui fonctionne très bien avec mon Powerbook G4 sous Tiger :

Oui bien vu

Je cable des que j'en ai la possibilité, donc je vote pour ce patch aussi

[Eurylaime]

[MàJ] Apple a indiqué que cette faille a déjà été comblée dans les dernières bêta de ses systèmes d'exploitation.

C'est du Apple dans le texte ! Apple le savait déjà et Apple est le plus rapide pour combler ces failles ?
Si cette faille a déjà été comblée dans les dernières bêta de ses systèmes d'exploitation, pourquoi ne proposent-ils pas un mise à jour des systèmes d'exploitation en cours ?
Faut-il que tout le monde installe les dernières bêta pour être en sécurité ?

Apple, des blaireaux pour les problèmes de sécurité cela veut bien dire que les anciennes versions ne seront pas corrigées.

[SartMatt]

Apple le savait déjà et Apple est le plus rapide pour combler ces failles ?

Tous les éditeurs majeurs d'OS et fabricants majeurs d'équipements WiFi le savaient déjà. Le chercheur qui a trouvé la faille a fait les choses bien, il a d'abord prévenu ceux qui doivent corriger, puis il a attendu confirmation que des corrections sont prêtes avant de divulguer la faille, et ce n'est que dans quelques mois qu'il diffusera le code de son exploit, pour laisser du temps pour déployer les correctifs.

Donc non, Apple n'a pas été particulièrement rapide. Surtout que pour l'instant elle ne propose qu'un correctif beta alors que plusieurs distributions Linux ont un correctif final déjà diffusé, tout comme Microsoft, qui diffuse le correctif côté Windows 10 depuis le 10 octobre.

[M_Marc]

Sans vouloir être pris a parti, les "box" sont une vue très française de la connection à internet des internautes.

Oui sans doute, je veux bien le croire ...mais je ne sais pas si c'est un bien ou un mal ...
Je réagissais sur ce point car j'y suis confronté depuis peu ...et ça m'a bien cassé les pieds.

Finalement, j'imagine que là ou il n'y a pas de box, chacun doit faire le choix lui même de son matériel avec peut être plus de latitude ...pour peu de prendre bien soin de bien choisir.
La contre partie, c'est la complexité que je décrivais (comme en France dès qu'on veut justement se passer de nos box).
On peut même imaginé finalement que ça contribue davantage à la formation et à l'éducation des utilisateurs sur ces sujets.

La pseudo simplicité de nos box en France nous bride et si c'est d'un fonctionnement à priori plus simple, il me semble que les performances ne sont pas toujours au rendez-vous (ok ça s'améliore doucement mais souvent avec un temps de retard) et que souvent les possibilités sont réduites voir insuffisante (sécurité, monitoring, fonctions avancées ...) par rapport à ce qu'on peut attendre quand on est un utilisateur un peu exigeant.

C est un peu HS mais... effectivement je suis sur un marché mixte ou des box existent en parallèle des solutions modem et conection via un routeur. Après certain models sont aussi livré avec des capabilite wifi. J imagine que les offres triple pay incluent une box qui fait routeur, TV et telephone. Perso je suis rester avec l option ou je choisi mes périphériques et décide ou non d avoir certain services. Pour moi le bouquet standard de la télévision câblée me suffit et mon internet passe aussi par le cabke...

[iAPX]

Apple le savait déjà et Apple est le plus rapide pour combler ces failles ?

Tous les éditeurs majeurs d'OS et fabricants majeurs d'équipements WiFi le savaient déjà. Le chercheur qui a trouvé la faille a fait les choses bien, il a d'abord prévenu ceux qui doivent corriger, puis il a attendu confirmation que des corrections sont prêtes avant de divulguer la faille, et ce n'est que dans quelques mois qu'il diffusera le code de son exploit, pour laisser du temps pour déployer les correctifs.

Donc non, Apple n'a pas été particulièrement rapide. Surtout que pour l'instant elle ne propose qu'un correctif beta alors que plusieurs distributions Linux ont un correctif final déjà diffusé, tout comme Microsoft, qui diffuse le correctif côté Windows 10 depuis le 10 octobre.

+1 et maintenant avec ces correctifs et surtout les commit GIT correspondant, on peut voir quels sont les mécanismes modifiés et donc pourquoi ils ne marchaient pas, pour finalement refaire le chemin inverse pour exploiter la faille sans attendre de code d'exemple.

[EmileEssent]

Ce n'est pas possible, voir Turing et le problème de l'arrêt.

Peux-tu expliquer le lien avec le problème de l'arrêt ?

[yponomeute]

Ce n'est pas possible, voir Turing et le problème de l'arrêt.

Peux-tu expliquer le lien avec le problème de l'arrêt ?

En 3 lignes ça va être compliqué mais bon je vais essayer
- Turing et Church ont démontré qu'il n'existe pas d'algorithme permettant de savoir à coup sûr si un programme informatique va s'arrêter ou non
- considérons un programme informatique qui ne s'arrête jamais sauf s'il y a un bug dans le programme
- selon le théorème démontré par Turing et Church il n'existe pas d'algorithme pouvant à coup sûr déterminer si ce programme a un bug ou non

S'il n'est pas possible de créer un algorithme permettant à coup sûr de déterminer s'il y a un bug ou non, il n'est pas possible de créer un logiciel pour ça ou une IA (qui au final n'est qu'un logiciel). On pourra sans doute mettre au point des IA capables de corriger des bugs, mais on ne pourra jamais être sûr que tous les bugs auront été corrigés.

Edit : j'ai étudié ça il y a plus de 30 ans maintenant, mon explication manque sans doute de rigueur.

Ce message a été modifié par yponomeute - 17 Oct 2017, 13:09.

[zero]

ca veut dire que tous les appareils qui ne marchent que sur le Cloud, Apple en tete, sont particulierement vulnerables ?

Et ça veut dire aussi que tous ceux qui n'ont pas la toute dernière version du système sont vulnérables et qu'Apple s'en fout complètement.

Ce message a été modifié par zero - 17 Oct 2017, 14:07.

[Baradal]

ca veut dire que tous les appareils qui ne marchent que sur le Cloud, Apple en tete, sont particulierement vulnerables ?

Et ça veut dire aussi que tous ceux qui n'ont pas la toute dernière version du système sont vulnérables et qu'Apple s'en fout complètement.

Attendons d’abord de voir quels systèmes vont être maj.

[Eagle Kiss]

ca veut dire que tous les appareils qui ne marchent que sur le Cloud, Apple en tete, sont particulierement vulnerables ?

Et ça veut dire aussi que tous ceux qui n'ont pas la toute dernière version du système sont vulnérables et qu'Apple s'en fout complètement.

Attendons d’abord de voir quels systèmes vont être maj.

Ceux encore maintenu.

[Baradal]

Ceux encore maintenu.

Pas con Lesquels sont-ils ? 10.9>10.13 ?

[SartMatt]

Ceux encore maintenu.

Pas con Lesquels sont-ils ? 10.9>10.13 ?

À priori, 10.9 est abandonné, il n'a plus reçu de mise à jour de sécurité depuis plus d'un an (10.10 en a encore reçu une cet été).

[yponomeute]

Ceux encore maintenu.

Pas con Lesquels sont-ils ? 10.9>10.13 ?

10.11, 10.12, 10.13

C'est terminé pour Yosemite (10.10) http://news.fnal.gov/2017/09/macos-yosemit...fe-nov-10-2017/

[Licorne31]

Ceux encore maintenu.

Pas con Lesquels sont-ils ? 10.9>10.13 ?

10.11, 10.12, 10.13

C'est terminé pour Yosemite (10.10) http://news.fnal.gov/2017/09/macos-yosemit...fe-nov-10-2017/

Mise à jour payante (moins de 12 euros) pour les OS non maintenus (à partir de Leopard) qui tournent sur des machines dépourvues de port RJ45 :

FONCTION : Adaptateur réseau USB vous aide à ajouter une prise RJ45 à votre PC ou à remplacer un mauvais port ethernet de l'ordinateur par un port USB 2.0.
CONÇU pour VOUS : C'est une bonne solution pour ajouter une prise RJ45 standard à votre MacBook Air.
COMPATIBILITÉ ÉTENDUE : Compatible avec les standards IEEE 802.3, 802.3u (10Base-T, 100Base-T). Compatible avec Mac OS 10.5 et supérieur.
STABLE et RAPIDE : Il soutient 10/ 100 Mbps complet rapide par le biais du bus de USB 2.0 de 480 Mbps, plus rapide et plus fiable que la plupart des connexions sans fil.

[Matador]

La fin d'HADOPI ?

[2012]

...

J’espère que ça ne tardera pas trop pour les box des opérateurs français.

Là, oui, dans la box, ton opérateur est root.

...

Free a communiqué au sujet de la faille sur son bugtacker :

"Après lecture du papier, et confirmation par la FAQ du site Krack Attacks:
Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients.
Je vous confirme que nos APs ne sont pas affectés, la Freebox Crystal et la Freebox Révolution/Mini4k n'activent pas le mode FT (802.11r).
Quant à nos clients (Crystal, Mini4k), elles utilisent un VPN par dessus le wifi, donc pas grand chose à décrypter...
Le hostapd (qui est utilisé) n'est pas concerné.
La sécurité est double, non seulement les clients montent un VPN, mais l'AP ne laisse passer que ce VPN.
Nous mettrons toutefois évidemment à jour les versions de wpa_supplicant
Pour tout les services il y a un SSID dédié en isolation, sans accès internet... sauf pour les mini4k qui utilisent le SSID principal, pour celles-ci nous mettrons à jour le supplicant très rapidement, il est fort heureusement à une version inférieure à celle qui a le bug de la "clé à zéro "

Pour les autres :

Apple: The iPhone and iPad maker confirmed to sister-site CNET that fixes for iOS, macOS, watchOS and tvOS are in beta, and will be rolling it out in a software update in a few weeks.

Arris: a spokesperson said the company is "committed to the security of our devices and safeguarding the millions of subscribers who use them," and is "evaluating" its portfolio. The company did not say when it will release any patches.

Aruba: Aruba has been quick off the mark with a security advisory and patches available for download for ArubaOS, Aruba Instant, Clarity Engine and other software impacted by the bug.

AVM: This company may not be taking the issue seriously enough, as due to its "limited attack vector," despite being aware of the issue, will not be issuing security fixes "unless necessary."

Cisco: The company is currently investigating exactly which products are impacted by KRACK, but says that "multiple Cisco wireless products are affected by these vulnerabilities."

"Cisco is aware of the industry-wide vulnerabilities affecting Wi-Fi Protected Access protocol standards," a Cisco spokesperson told ZDNet. "When issues such as this arise, we put the security of our customers first and ensure they have the information they need to best protect their networks. Cisco PSIRT has issued a security advisory to provide relevant detail about the issue, noting which Cisco products may be affected and subsequently may require customer attention.

"Fixes are already available for select Cisco products, and we will continue publishing additional software fixes for affected products as they become available," the spokesperson said.

In other words, some patches are available, but others are pending the investigation.

Espressif Systems: The Chinese vendor has begun patching its chipsets, namely ESP-IDF and ESP8266 versions, with Arduino ESP32 next on the cards for a fix.

Fortinet: At the time of writing there was no official advisory, but based on Fortinet's support forum, it appears that FortiAP 5.6.1 is no longer vulnerable to most of the CVEs linked to the attack, but the latest branch, 5.4.3, may still be impacted. Firmware updates are expected.

FreeBSD Project: There is no official response at the time of writing.

Google: Google told sister-site CNET that the company is "aware of the issue, and we will be patching any affected devices in the coming weeks."

HostAP: The Linux driver provider has issued several patches in response to the disclosure.

Intel: Intel has released a security advisory listing updated Wi-Fi drives and patches for affected chipsets, as well as Intel Active Management Technology, which is used by system manufacturers.

Linux: As noted on Charged, a patch is a patch is already available and Debian builds can patch now, while OpenBSD was fixed back in July.

Netgear: Netgear has released fixes for some router hardware. The full list can be found here. ( voir site netgear)

Microsoft: While Windows machines are generally considered safe, the Redmond giant isn't taking any chances and has released a security fix available through automatic updates.

MikroTik: The vendor has already released patches that fix the vulnerabilities.

OpenBSD: Patches are now available.

Ubiquiti Networks: A new firmware release, version 3.9.3.7537, protects users against the attack.

Wi-Fi Alliance: The group is offering a tool to detect KRACK for members and requires testing for the bug for new members.

Wi-Fi Standard: A fix is available for vendors but not directly for end users.

[Macmmouth]

On note encore le travail au top des informaticiens...

Quelle belle analyse

Nul besoin d’analyse. Un simple constat suffit.

On note encore le travail au top des informaticiens...

Quelle belle analyse

Oui, j’avoue que c’est un summum d’intelligence..



Le genre qui ne comprends rien à rien mais qui est très doué pour accuser et trouver des bouc-emissaires, quitte à ce que ce soit une corporation entière qui paye.
C’est une vraie calamité quand ce genre d’individu a un peu de pouvoir

Quand ma bagnole dysfonctionne, pas besoin d’ être mécano pour le voir, et je n'incrimine pas les biologistes ou les chirurgiens.🙄

Le problème c’est d’incriminer justement.
Cette maladie qui consiste à trouver un coupable pour toute chose.
Le genre qui fait un procès à météo France parce qu’un arbre a écrasé sa bagnole.

Dans le cas qui nous interesse, à savoir les tests logiciels, il faut savoir que ceux ci ne peuvent pas être exhaustifs.
Pour la bonne raisons que d’une part un humain ne peut pas imaginer tous les cas de fonctionnement d’un logiciel et que le nombre de ces cas peut être si important qu’il est impossible de les tester dans un temps raisonnable.

C’est une question de combinatoire. Plus un logiciels est complexe, plus le nombre de choses qu’il peut faire devient exponentiel. Et on ne peut être sûr du fonctionnement que de ce qui a été testé. Il faut penser à tous ces cas et même en imaginant que ce soit possible, il faut que le temps nécessaire à ces tests soit réaliste.

Tout logiciel est truffé de bug, il faut que tu le saches. Ils peuvent être connu mais non bloquant et non gênant ou simplemant non découverts, mais il y en a forcement.
Et toi tu reclames le zero defaut et des sanctions si ce n’est pas le cas.

Et les failles, c’est encore pire. Dans ce cas là on sort souvent du cadre d’utilisation prévu.

Pourquoi penses tu que de très grandes société comme Apple ou Microsoft rétribuent les découvertes de failles ?
C’est bien parce qu’il y en a, mais que tout l’argent et tous les moyens qu’ils pourraient mettre en interne seront toujours moins efficaces que de faire appel à l’imagination et à l’astuce de milliers de hackers.


En gros tu demandes l’impossible et en plus tu réclames de trouver le coupable qui n’a pas accompli l’impossible.

Quel Bidochon je te jure !

Ce message a été modifié par Macmmouth - 18 Oct 2017, 17:22.

[zero]

FONCTION : Adaptateur réseau USB vous aide à ajouter une prise RJ45 à votre PC ou à remplacer un mauvais port ethernet de l'ordinateur par un port USB 2.0.
CONÇU pour VOUS : C'est une bonne solution pour ajouter une prise RJ45 standard à votre MacBook Air.
COMPATIBILITÉ ÉTENDUE : Compatible avec les standards IEEE 802.3, 802.3u (10Base-T, 100Base-T). Compatible avec Mac OS 10.5 et supérieur.
STABLE et RAPIDE : Il soutient 10/ 100 Mbps complet rapide par le biais du bus de USB 2.0 de 480 Mbps, plus rapide et plus fiable que la plupart des connexions sans fil.

Heureusement, la plupart de ce genre d'adaptateur ne coûtent pas cher et devraient fonctionner sur Mac. Il y en a même des Gigabit Ethernet vers USB3 pour moins de 10 euro.

Ceux encore maintenu.

Pas con Lesquels sont-ils ? 10.9>10.13 ?

10.11, 10.12, 10.13

C'est terminé pour Yosemite (10.10) http://news.fnal.gov/2017/09/macos-yosemit...fe-nov-10-2017/

Ces trois versions sont sorties à peu d'interval. 10.11 est sortie fin 2015, il y a à peine deux ans. 10.9 était toujours en vente. Apple abandonne vite ses utilisateurs, je trouve.

Ce message a été modifié par zero - 18 Oct 2017, 00:19.

[divoli]

Ceux encore maintenu.

Pas con Lesquels sont-ils ? 10.9>10.13 ?

À priori, 10.9 est abandonné, il n'a plus reçu de mise à jour de sécurité depuis plus d'un an (10.10 en a encore reçu une cet été).

En principe, Apple fournit des mises à jour de sécurité pour la version actuelle de macOS, l'avant-dernière et l'antépénultième (en clair, actuellement: High Sierra, Sierra et El Capitan). Cependant, il est déjà arrivé que Apple propose des mises à jour de sécurité pour des versions bien plus anciennes, donc dans le cas qui nous occupe on ne peut pas écarter la possibilité qu'elle en fournisse une également pour Yosemite et Mavericks (et peut-être même pour des versions encore plus anciennes que ces deux là, mais là j'ai quand même de gros doutes car quasiment plus personne ne doit utiliser Mountain Lion ou antérieures et de facto Apple ne va probablement pas s'y intéresser).

Ce message a été modifié par divoli - 18 Oct 2017, 00:40.

[teddy7545]

SYNOLOGY a aujourd'hui également proposé une mise à jour pour ses routeurs relative entre autre à cette faille:

Fixed multiple security vulnerabilities regarding WPA/WPA2 protocols for wireless connections (CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088).

Suivant cet extrait de la release note, la mise à jour semble corriger non pas une mais plusieurs faille de sécurité concernant le WPA/WPA2.
Pas contre apparemment rien du côté de leur Serveur pour le moment

[djdoxy]

En gros tu demandes l’impossible et en plus tu réclames de trouver le coupable qui n’a pas accompli l’impossible.

Ils ne savaient pas que c'etait impossible, alors ils l'ont fait (Mark Twain)

[teddy7545]

SYNOLOGY a aujourd'hui également proposé une mise à jour pour ses routeurs relative entre autre à cette faille:
...
Pas contre apparemment rien du côté de leur Serveur pour le moment

Voila qui est maintenant également fait ce soir pour leur Serveur NAS

Fixed multiple security vulnerabilities regarding WPA/WPA2 protocols for wireless connections

[Eagle Kiss]

mais là j'ai quand même de gros doutes car quasiment plus personne ne doit utiliser Mountain Lion ou antérieures et de facto Apple ne va probablement pas s'y intéresser).

Détrompe toi, à lire les forums, il y a encore un paquet de ML et même de Lion à se balader sur la toile.
Et sans parler des types comme moi qui connecte encore un Mac secondaire avec un OS obsolète.

[Paolo]

Bonjour,

Quel type de protection WiFi recommanderiez-vous de choisir pour la Freebox 6 : WPA2-PSK, WPA2-PSK/TKIP ou WPA2-PSK/AES ?

Merci d'avance pour vos conseils car pour moi c'est du chinois

[Rorqual]

Voir le message 33 de Panta.