Interview: Mathy Vanhoef, l’homme qui a découvert la faille WPA2

. © istockphoto
Pieterjan Van Leemputten

Ce fut une turbulente semaine pour les gestionnaires de réseaux, après qu’un chercheur de la KU Leuven ait découvert que la sécurité wifi populaire WPA2 pouvait être piratée. Mathy Vanhoef explique à Data News comment les choses se sont passées et dans quelle mesure votre réseau est menacé.

Nous avons rencontré Vanhoef trois jours après qu’il ait communiqué publiquement à propos de sa Key Reinstallation Attack (Krack en abrégé). En exploitant cette faille, un pirate peut faire en sorte que d’anciennes clés de cryptage soient utilisées ou se composent de zéros. A partir de là, tout le trafic internet entre un appareil et le routeur peut être intercepté.

Quiconque s’occupe de sécurité et de réseau, a soudainement les yeux rivés sur vous. Comment le vivez-vous?

“Lundi et mardi, la pression était énorme. Aujourd’hui, c’est un peu plus calme, mais j’ai encore pas mal de sommeil à rattraper. Subitement, j’ai éprouvé toutes les peines du monde à répondre au téléphone et aux mails.”

Nous avons rapidement constaté qu’il était impossible de prendre contact avec tous les fabricants de produits vulnérables. Voilà pourquoi sur les conseils d’autres experts, nous nous sommes alors tournés vers le CERT aux Etats-Unis, qui a lui-même pris contact avec les principales entreprises concernées.

Lundi, vous avez donc rendu la faille publique, mais quand l’avez-vous découverte en fait?

Mathy Vanhoef
Mathy Vanhoef© .

“La découverte en tant que telle remonte au mois de mars. Ensuite, nous avons rédigé un rapport que nous avons envoyé à une autorité académique. Durant l’été, nous avons encore peaufiné nos investigations et avons prévenu les premières entreprises, afin qu’elles puissent préparer des mises à jour.”

Apple et Microsoft ont déjà fait savoir que leurs appareils étaient patchés (corrigés). Et Google préparerait une update, de même d’ailleurs que les grands fabricants de réseaux. Mais doit-on quand même se faire du souci pour les appareils plus anciens ne recevant plus de mises à jour?

“Les principales failles se trouvent dans les clients: votre smartphone et votre ordinateur portable. Si vous veillez à ce que ces appareils soient mis à jour, vous êtes normalement protégé. Même si vous possédez un ancien routeur ne faisant plus l’objet d’updates, vous ne courez pas directement un risque, selon moi.”

Si votre routeur domestique ne reçoit plus d’updates, ce n’est pas là directement le principal problème, aussi longtemps que vous corrigez vos appareils Windows, Android et iOS.

“Certains points d’accès et routeurs sont certes vulnérables, mais ici, je parle surtout de vastes réseaux utilisés dans les aéroports, universités ou hôtels intégrant plusieurs points d’accès.”

“Votre routeur ou point d’accès à la maison ne supporte pas la fonctionnalité où se trouve la faille. Si votre routeur domestique ne reçoit plus d’updates, ce n’est pas là directement le principal problème, aussi longtemps que vous corrigez vos appareils Windows, Android et iOS.”

Vous travaillez comme chercheur post-doctorant à la KU Leuven, la brèche faisait-elle partie de ce travail de recherche?

“Pour mon doctorat, j’étais déjà occupé à faire de la recherche sur la sécurité des réseaux sans fil. Lorsque je terminai ma précédente recherche, je soupçonnais déjà qu’il y avait un problème au niveau de WPA2. La découverte de la faille s’est donc faite dans le prolongement de ma recherche sur les réseaux et la sécurité.”

Découvrir une faille de cette ampleur aura-t-elle un grand impact sur votre carrière?

“Pas à court terme. Je bénéficie à présent d’une bourse FWO (Fonds Wetenschappelijk Onderzoek, Fonds de recherche scientifique, ndlr) de trois ans. Mais à long terme, cela pourrait certes renforcer ma carrière. Si je postulais ailleurs, la découverte WPA2 prendrait une belle place sur mon CV.

Votre recherche basée sur le FWO en sera-t-elle le prolongement?

“Cette recherche se focalisera sur la sécurité des protocoles réseautiques en général. Donc pas uniquement sur les connexions sans fil, mais bien tout le long d’internet et là où les appareils communiquent entre eux.”

Après votre découverte, avez-vous dû prendre contact avec beaucoup de monde?

“Nous avons dans un premier temps contacté les entreprises, dont nous avons-nous-mêmes testé les produits, mais nous avions déjà informé Microsoft, Google et Apple. En tout, nous avons envoyé une centaine de mails d’information et répondu aux réactions. Mais nous avons rapidement constaté qu’il était impossible de prendre contact avec tous les fabricants de produits vulnérables.”

“Voilà pourquoi sur les conseils d’autres experts, nous nous sommes alors tournés vers le CERT aux Etats-Unis, qui a lui-même pris contact avec les principales entreprises concernées. Heureusement d’ailleurs car nous n’aurions pas pu faire tout cela nous-mêmes.”

Si vous voulez en savoir plus sur la faille même, vous pouvez lire le rapport de Vanhoef sur Krackattacks.com. Dans un article, nous expliquons par ailleurs comment une attaque se passe et nous avons demandé aussi l’avis de quelques acteurs technologiques, dont Proximus et Telenet, à propos des conséquences de la faille pour leurs modems.

“Nous avons rapidement constaté qu’il était impossible de prendre contact avec tous les fabricants de produits vulnérables. Voilà pourquoi sur les conseils d’autres experts, nous nous sommes alors tournés vers le CERT aux Etats-Unis, qui a lui-même pris contact avec les principales entreprises concernées.”

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire