u sur Slashdot sur les conseils du nettoyeur d'écran : quatre chercheurs norvégiens ont publié une amélioration des attaques sur TKIP. L'article est publié dans les actes de la Nordsec 2009 qui s'est tenue à Oslo mi-octobre, lesquels sont disponibles chez Springer moyennant finance. Heureusement, ou pas selon les points de vue, le contenu, et donc l'article en question, est lisible sur Google Books, ce qui permet de faire une idée du contenu que je vous propose de commenter rapidement.
Si cette publication est largement passée inaperçue, ce n'est pas que du fait de l'effet Springer. C'est aussi parce que le résumé reste très factuel et conforme au contenu, sans jouer pas sur les mots pour faire les gros titres. Ainsi, on comprend dès les premières lignes l'objet de l'amélioration proposée pour l'attaque de Beck et Tews : obtenir un keystream nettement plus long à partir d'un DHCP ACK.
Partant de l'hypothèse que les stations obtiennent leur configuration IP par la biais de DHCP sur la plupart des réseaux, ils proposent une modification de tkiptun-ng visant à travailler sur les DHCP ACK renvoyés par le routeur plutôt que le trafic ARP. Un tel paquet est intéressant à double titre pour l'attaquant. D'une part, à l'instar d'un paquet ARP, son contenu est hautement prévisible. D'autre part, ce contenu est long, entre 330 et 584 octets. Partant des mêmes hyptohèses de travail que Beck et Tews, il apparaît qu'il ne reste que 16 octets à découvrir sur un tel payload.
Le temps théoriquement nécessaire à une attaque réussie est estimé à 18 minutes environ. Dans la pratique, les auteurs avancent une fourchette comprise entre 25 et 40 minutes. Le résultat est la récupération de 596 octets de keystream, contre 48 pour Beck et Tews. Un joli facteur 12 qui permet d'élargir singulièrement la taille des paquets pouvant être injecté par la suite. Une belle amélioration donc, mais dont les applications restent les mêmes : envoyer des paquets à une station précise. Les limitations en termes d'application sont donc également les mêmes, et restent affreusement pauvres. En plus plus de la corruption de cache ARP mentionnée dans le papier original, les auteurs proposent deux nouvelles applications. La première est un un déni de service évident qui consiste à déclencher des "MIC failures" à gogo visant à désassocier les stations visées.
La seconde, plus intéressante peut-être, est une technique de "firewall piercing" visant à faire émettre par un client interne un paquet à destination d'une destination contrôlée sur Internet et obtenir de ce fait une autorisation temporaire de retour au niveau de pare-feu. Ça va certainement fonctionner pour de l'UDP, pour TCP, il faudra un moteur d'états un peu niais. Quant aux applications, c'est encore fois maigre, mais il y a moyen d'établir un canal de communication avec l'extérieur qui pourrait être mis à profit pour achever une attaque nécessitant des situations de clair connu, voire choisi. Pas de quoi sauter au plafond cependant...
Si la modification décrite est intellectuellement intéressante, le sont peut-être encore plus les pistes de travail proposées à la fin de l'article. Elles permettent en effet de bien cibler les limitations de ces attaques sur TKIP, qu'il s'agisse de l'originale par Beck et Tews ou de l'amélioration indûment médiatisée proposées par les japonais d'une part ou celle que je vous décris ici. Pour la petite histoire, ils proposent d'essayer d'étendre l'attaque en utilisant la fragmentation[1], ce que je mentionnais déjà l'an dernier. Ceci dit, les maigres expérimentations que j'ai pu mener jusqu'à présent ne se sont pas montrées très fructueuses...
En définitive, un papier modeste qui fait avancer doucement le schmiblick sans pour autant chambouler l'état de l'art. Les attaques sur TKIP restent difficiles à mettre en œuvre et peu exploitables en pratique. Mais il est évidemment chaudement recommandé de passer en AES-CCMP pour se mettre à l'abri d'une amélioration majeure dans le domaine.
Notes
[1] Voir les attaques par fragmentation sur WEP de Bittau et al. publiées en 2005 et 2006.
Jeu de briques
Snake
Pacman
Bubble