Vous pensez avoir un mot de passe inviolable ? C’est sans compter sur une faille découverte dans Windows Phone, qui permet aux hackeurs de récupérer les mots de passe lorsque vous êtes connectés à un hotspot Wi-Fi…
Il semblerait que les pirates pourraient exploiter une faiblesse connue dans le protocole d’authentification Wi-Fi appelé PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol with Microsoft Challenge Handshake Authentication Protocol version 2). Le protocole est utilisé dans les téléphones Windows Phone pour l’authentification WPA2.
Microsoft affirme qu’un pirate peut exploiter une faille dans le protocole, lorsqu’un appareil mobile tente de s’authentifier automatiquement à un hotspot comme une connexion Wi-Fi gratuite. Une fois la tentative de connexion faite, et sans l’autorisation de l’utilisateur, un pirate peut intercepter les informations d’identification de domaine chiffrées de la victime puis de les décrypter.
En gros, pour exploiter cette faille, le pirate met en place un réseau wifi dont le nom est déjà connu par le téléphone, qui va ainsi essayer de se connecter au réseau et enverra ses identifiants. Le pirate pourra ensuite ré-utiliser ces informations pour se connecter au réseau et récupérer toutes les actions de l’utilisateur sur celui-ci (identification par mot de passe sur des sites par exemple).
Microsoft affirme qu’aucune mise à jour de sécurité ne pourrait corriger le problème, qu’il faudra entièrement repenser la manière dont le téléphone se connecte à un hotspot et sa configuration. Pour éviter d’avoir ce genre de soucis, il est recommandé de décocher l’option « Se connecter automatiquement aux points d’accès Wi-Fi » dans les paramètres avancés du Wi-Fi de votre téléphone.
La faille concerne les mobiles sous Windows Phone 7.8 et Windows Phone 8 ; les versions antérieures ne sont pas touchées.
Pour plus d’informations, reportez vous au communiqué officiel de Microsoft.