Le fameux Hole196 ne serait donc finalement qu'une pauvre injection d'ARP cache poisoning sur WPA/WPA2 exploitant la connaissance de la GTK. La corruption ayant pour effet d'envoyer les paquets impactés vers la station de l'attaquant. Comme le permet n'importe quelle attaque aboutissant à une redirection de trafic. À partir de là, les paquets émis par la station visée seront destinés à l'attaquant. Bien que chiffrés dans un premier temps à l'aide d'une PTK inaccessible à l'attaquant[1], ils vont ensuite être relayés par l'AP qui va alors les chiffrer pour lui. C'est ce qui lui permet de lire en clair ensuite et agir éventuellement agir dessus. Classique.

Les points techniques que j'exposais et ma conclusion restent donc valables : il n'y a là rien de plus que ce qu'un utilisateur légitime du réseau ne pouvait déjà faire. La discrétion en plus, mais en se trouvant restreint aux stations associées à l'AP visé[2].

En ce qui concerne la fuite de PTK, rien, bien évidemment. S'agit-il d'une mauvaise citation du journaliste, ou d'une formulation volontairement ambigüe de l'auteur ? Bonne question. Toujours est-il que la clé n'est transmise en aucune manière. Elle reste bien au chaud là où elle est censée rester, ce qui ne manque pas de limiter les possiblités de l'attaquant. Ce dernier devra en effet s'appuyer sur l'AP pour que le trafic lui soit accessible, contrairement à ce qu'on obtient quand on utilise Wifitap ou airtun-ng sur un réseau en clair ou WEP.

Ce qui nous amène naturellement à une technique de protection envisageable. En dehors de l'utilisation d'un WIPS qu'AirTight et d'autres éditeurs ne manqueront pas de vous recommander, je peux vous conseiller l'utilisation des fonctions d'isolation qui empêchent les stations de parler entre elles. Cela n'empêchera pas la corruption de cache ARP, ou tout autre attaque en multicast[3], de se faire, mais ça bloquera le trafic éventuellement détourné au niveau de l'AP. Et comme l'attaquant a besoin que ce dernier lui renvoie les paquets, il ne pourra plus intercepter les communications. Au mieux devra-t-il se contenter d'un DoS, ce qui, dans le monde du Wi-Fi, s'obtient par des moyens nettement plus simples...


Rien de comparable en tout cas avec les travaux de Beck et Tews sur TKIP. Pas de quoi couler la sécurité Wi-Fi. Pas de quoi remettre en cause WPA2. Bref, pas de quoi en faire tout un plat... Ou trois billets ;)


Update (31/07/2010) : Network World se fend d'un retour sur la vulnérabilité, et la présentation qui semble ne pas vraiment avoir impressionné son auditoire...

Update (02/08/2010) : AirTight vient d'étoffer sa page sur Hole196 avec deux must-read : une FAQ et les slides de la présentation donnée à Defcon.

Notes

[1] Cf. plus bas.

[2] On ne peut en particulier pas attaquer la partie filaire...

[3] Notez tout de même qu'un exploit visant spécifiquement un service multicast pourrait être délivré ainsi.