Windows Phone : attention à vos mots de passe, faille de sécurité !
Vous pensez avoir un mot de passe inviolable ? C’est sans compter sur une faille découverte dans Windows Phone, qui permet aux hackeurs de récupérer les mots de passe lorsque vous êtes connectés à un hotspot Wi-Fi…
Il semblerait que les pirates pourraient exploiter une faiblesse connue dans le protocole d’authentification Wi-Fi appelé PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2). Le protocole est utilisé dans les téléphones Windows Phone pour l’authentification WPA2.
Microsoft affirme qu’un pirate peut exploiter une faille dans le protocole, lorsqu’un appareil mobile tente de s’authentifier automatiquement à un hotspot comme une connexion Wi-Fi gratuite. Une fois la tentative de connexion faite, et sans l’autorisation de l’utilisateur, un pirate peut intercepter les informations d’identification de domaine chiffrées de la victime puis de les décrypter.
En gros, pour exploiter cette faille, le pirate met en place un réseau wifi dont le nom est déjà connu par le téléphone, qui va ainsi essayer de se connecter au réseau et enverra ses identifiants. Le pirate pourra ensuite ré-utiliser ces informations pour se connecter au réseau et récupérer toutes les actions de l’utilisateur sur celui-ci (identification par mot de passe sur des sites par exemple).
Microsoft affirme qu’aucune mise à jour de sécurité ne pourrait corriger le problème, qu’il faudra entièrement repenser la manière dont le téléphone se connecte à un hotspot et sa configuration. Pour éviter d’avoir ce genre de soucis, il est recommandé de décocher l’option « Se connecter automatiquement aux points d’accès Wi-Fi » dans les paramètres avancés du Wi-Fi de votre téléphone.
La faille concerne les mobiles sous Windows Phone 7.8 et Windows Phone 8 ; les versions antérieures ne sont pas touchées.
Pour plus d’informations, reportez vous au communiqué officiel de Microsoft.
Moi ce qui m’inquiète c’est ça :
« Microsoft affirme qu’aucune mise à jour de sécurité ne pourrait corriger le problème ».
C’est quand même bof non ?
Se genre de problème à toujours existé, c’est pareil pour les ordinateurs portables quand les gens veulent se connecter sur une borne wi-fi gratuite dans un bar un restaurant, un hotel et etc. je pense que c’est la qu’il y a de gros risque.
Il est bon d’apporter quelques précisions !
Les points d’accès Wi-Fi WPA2-Enterprise viséq par cette faille utilisant le protocole d’identification PEAP-MS-CHAP v2 n’est utilisé qu’en entreprise. Il n’y a alors pas de clé Wi-Fi, l’utilisateur doit saisir ses identifiants du domaine Active Directory ou LDAP de l’entreprise. Ce sont ces identifiants qui peuvent être intercepté par un pirate mal-attentionné afin qu’il puisse par la suite se connecter au réseau de l’entreprise avec ces même identifiants.
Microsoft recommande donc aux administrateurs systèmes et réseaux des entreprises de rajouter un chiffrement des communications en utilisant un certificat electronique pour eviter ce cas de figure.
D’ailleurs, si le réseau Wi-Fi de votre entreprise a cette faille, du moment que vous avez l’autorisation d’y connecter votre WP8, si il arrive quoi que ce soit, c’est la DSI qui est responsable pour ne pas avoir sécurisé la Wi-Fi, pas vous.
Pour les points d’accès Wi-Fi WPA/WPA2-Personnal avec protections TKIP et/ou AES que proposent toutes les box actuelles il n’y a aucun soucis à se faire, vous ne vous ferez jamais voler vos identifiants.
Pour résumer, le grand public n’a dans l’ensemble aucun soucis à se faire.
Sauf que ces explications là n’entretiennent pas la paranoïa collective dite du « on nous » : « ON NOUS espionne, ON NOUS ment, ON NOUS arnaque, ON NOUS spolie… ».
C’est pour ça que la majorité (j’ai pas dit tous, pas taper Julie) de ceux reprenant la nouvelle n’en parleront pas.
Microsoft, ce n’est pas la filiale de la NSA ?
Moi qui pensais que Windows et Office avaient eu autant de succès car ils donnaient 100% accès à nos ordinateurs.
Mais, Microsoft se rattrape, ce sont les premiers à avoir collaborer avec la NSA depuis 2007.
C’était juste pour continuer à entretenir la mouvance hippie mal réveillé parano
Tiens ! Cadeau : https://prism-break.org/#fr
Merci, mais je crois que je vais n’utiliser plus que cela à l’avenir : http://fr.123rf.com/photo_12216829_un-gris-pigeon-messager-isole-sur-blanc.html
🙂
BSD n’est pas aussi sécurisé que certains veuillent bien le penser par contre…
C’est une sorte de man in the middle, le but est de se faire passer pour un réseau habituel de cet utilisateur auquel il se connecte par login/password (typiquement au boulot)
En effet, à part ne pas se connecter automatiquement, pas beaucoup de solutions côté utilisateur.
Par contre, les entreprises peuvent utiliser des SSID masqué déjà et puis utiliser des certificats plutôt que des mdp. Plus contraignant à la mise en œuvre mais plus tranquillisant pour la suite…
en effet, chez nous les bornes wifi nécessitent des certifs
seul l’accès « invité » n’a pas besoin de certif et demande de s’identifier via une page web (mais pas de mot de passe, juste les infos mails, société, etc.) et cet accès est bien plus limité, il permet, en gros, d’avoir un accès à internet pour les presta qui voudraient récup les mails de leur société par exemple…
bref, tout ça est plutôt bon à savoir sachant qu’une partie de la flotte des mobiles est remplacée par des WP en ce moment (principalement des 820) 😉
Pas de jeux de mots du style « nom d’une PEAP » ? 🙂
« Pour éviter d’avoir ce genre de soucis, il est recommandé de décocher l’option « Se connecter automatiquement aux points d’accès Wi-Fi » dans les paramètres avancés du Wi-Fi de votre téléphone. »
Ou plus simplement de mettre son Lumia en veille, le Wifi se coupant alors automatiquement. 😛
Ou pas…
Ping : Windows Phone : attention à vos mots de ...