Des chercheurs ont découvert une faille dans la protection WPA2, la plus forte actuellement disponible sur les réseaux Wi-Fi. Les internautes, qui ont désormais la responsabilité de sécuriser leur connexion Internet, sont donc potentiellement dans une situation insoluble : comment sécuriser correctement un accès Internet si les outils à disposition sont tous techniquement faillibles ?

Le 26 juin dernier, le décret instituant une « contravention de négligence caractérisée protégeant la propriété littéraire et artistique sur Internet » était publié au Journal officiel. Paraphé par le Premier ministre et les ministres de la Justice et de la Culture, le texte précisant ce qu’est la négligence caractérisée indiquait ainsi :

« Constitue une négligence caractérisée […] le fait, sans motif légitime, pour la personne titulaire d’un accès à des services de communication au public en ligne […] soit de ne pas avoir mis en place un moyen de sécurisation de cet accès, […] soit d’avoir manqué de diligence dans la mise en œuvre de ce moyen« .

Or, si le décret a bien confirmé l’obligation pour chaque internaute d’installer un moyen de sécurisation après réception d’une lettre recommandée, il est resté muet sur la forme que devra justement prendre ce fameux moyen de sécurisation. Quelques mois plus tôt, le ministère de la Culture avait pourtant indiqué deux pistes permettant de sécuriser son accès à Internet.

Dans sa réponse publiée au Journal officiel, le ministère présenta deux niveaux de protection. D’une part, la mise en œuvre de solutions de sécurisation au niveau du poste informatique, afin de gérer « l’utilisation de l’accès d’un foyer ou de prémunir cet accès contre des tiers extérieurs« , et d’autre part, la présence de moyens de sécurisation pour le boîtier de connexion afin « de prémunir l’abonné contre l’intrusion d’un tiers« .

Et le ministère de poursuivre en expliquant que « les boîtiers de connexion qui permettent de relier le poste de l’utilisateur à Internet, par fil ou sans fil (Wi-Fi), peuvent être sécurisés au moyen de clés et de protocoles cryptographiques (clés WEP et WPA). Ces clés sont l’équivalent d’un mot de passe dans un système de contrôle d’accès. Cette sécurisation peut être complétée par une restriction d’accès aux seuls périphériques préalablement déclarés par l’utilisateur (filtrage MAC)« .

Cependant, dans l’un et l’autre cas, un certain nombre de problèmes demeurent. Premièrement, la liste des fonctionnalités pertinentes que doivent respecter les moyens de sécurisation imposées aux abonnés par la loi Hadopi n’a toujours pas été publiée. Et c’est à se demander si elle le sera un jour, malgré les assurances du secrétaire général de la Haute Autorité.

Deuxièmement, les moyens de sécurisation des boîtiers de connexion sont loin d’être inébranlables. Les pistes avancées par le ministère, comme les clés de chiffrement WEP ou WPA, sont faillibles depuis plusieurs années maintenant. Or, un article publié chez Network World nous apprend qu’une vulnérabilité a été trouvée dans la clé de chiffrement WPA2.

Problème, comme le souligne Joanie Wexler, ce protocole de sécurité est censé être à l’heure actuelle la protection la plus solide pour un réseau Wi-Fi. Du moins, le plus solide dans les différents paramètres disponibles sur un boîtier Wi-Fi. Surnommée « Hole 196 », cette vulnérabilité s’appuie sur une méthode d’attaque informatique appelée « man in the middle » (attaque de l’homme du milieu).

Brièvement, il s’agit d’une méthode permettant d’intercepter les communications entre deux parties, tout en évitant de se faire détecter. C’est technique évite ainsi d’avertir l’une ou l’autre des parties que le canal de communication a été compromis. Selon le chercheur, il n’a pas été nécessaire de pirater l’algorithme de chiffrement AES sur lequel repose le WPA, ni d’utiliser une attaque par dictionnaire (chercher la solution en testant toutes les combinaisons possibles) pour fragiliser la protection WPA2.

Selon Kaustubh Phanse, un architecte spécialisé dans les réseaux sans fil, « il n’y a rien qui permette pour l’heure de patcher cette vulnérabilité [Hole 196]« , estimant que cette faille « ouvre une fenêtre de tir possible grâce à cette vulnérabilité Zero day« .

Cependant, les chercheurs indiquent que la portée de cette faille est pour le moment assez limitée, puisqu’il faut être déjà un utilisateur autorisé pour l’exploiter. Les attaques menées depuis l’extérieur ne peuvent visiblement pas s’en servir. Mais à l’heure le décret créé une obligation de résultat pour le moyen de sécurisation, voilà qui est assez troublant.

Rappelons que dans le cadre de la loi Hadopi, c’est le juge qui devra vérifier d’une part la présence d’un moyen de sécurisation, et estimer d’autre part sa pertinence et son efficacité. Or, cette expertise devra se faire en gardant en tête que la fiabilité absolue d’un moyen de sécurisation n’est pas atteignable. Il faudra sans doute trancher entre une connexion « assez sécurisée » et un accès « pas assez sécurisé ».

Mais pour les instigateurs de la loi, la question de la sécurisation de l’accès à Internet est devenue secondaire de toute façon. L’objectif est de pouvoir envoyer au plus vite les e-mails d’avertissement aux internautes suspectés de piratage. Reste qu’il est assez cocasse que cette information arrive alors que le dernier décret de la loi Hadopi a été validé

Partager sur les réseaux sociaux

Articles liés