Microsoft améliore la gestion de ses connexions Wifi

Date : 05 Janvier 2007

En janvier 2006, nous vous avions parlé dans un article du bulletin mensuel ("Sécurité des connexions Wifi et Microsoft Windows") des problèmes inhérents à la gestion de connexions sans-fil par le client Microsoft Windows. Ces problèmes étaient liés au fonctionnement du service de configuration automatique "Wireless Zero Configuration" - WZCSVC) et impliquaient l'initialisation automatique des connexions sans-fil et des fuites d'information résultant des ces automatismes.

Récemment Microsoft a publié une mise à jour de son client Wifi permettant de corriger les problèmes de sécurité ci-dessous sur les plates-formes Windows XP SP2 (KB917021 : http://support.microsoft.com/kb/917021).

Il est à noter que la mise à jour de Microsoft introduit également une facilité d'administration de la norme WPA2 sur les clients sans-fil. En effet, elle permet une gestion centralisée des paramètres WPA2 à travers les paramètres de stratégie de groupe ("Group Policy").

Le Cert-IST recommande aux utilisateurs de poste nomades d'installer cette mise à jour pour une meilleure protection de leur environnement sans-fil.

 

Cette mise à jour permet de corriger les problèmes identifiés suivants :

  • Lors de l'activation de la carte Wifi, le service "Wireless Zero Configuration" tente de faire correspondre les réseaux sans-fil favoris (configurés dans le client Microsoft) aux réseaux sans-fil qui diffusent leur nom de réseau (SSID). Si aucun réseau diffusé ne correspond à un réseau sans fil favori, le service WZCSVC envoie des requêtes "de sondage" afin de déterminer si les réseaux favoris sont des réseaux qui ne diffusent pas explicitement leur SSID. Ainsi les SSID des réseaux favoris de l'utilisateur se trouvent diffusés sans aucune protection. Un pirate se trouvant à proximité de la victime peut surveiller ces requêtes de "sondage" ("probe requests") et configurer un réseau sans-fil avec un nom correspondant à un réseau recherché. Si le réseau sans-fil n'est pas sécurisé, ce réseau peut autoriser des connexions non autorisées à l'ordinateur.
    La mise à jour proposée par Microsoft permet à l'utilisateur de configurer les réseaux sans-fil favoris qui pourront être "sondés" ou non.

  • Il existe dans le client sans-fil de Windows une fonctionnalité de "parking" permettant au client de fonctionner sans être rattaché à un réseau Wifi spécifique. Pour cela le service WZCSVC crée un nom de réseau sans-fil aléatoire et configure la carte réseau sans-fil avec le mode "infrastructure". Dans cette configuration, la carte sans-fil n'est connectée à aucun réseau, mais elle continue à rechercher les réseaux sans-fil favoris toutes les minutes. Cependant, certains pilotes ("drivers") de cartes réseau Wifi peuvent interpréter cette opération de "parking" comme une véritable requête de connexion à un réseau sans fil. Ainsi, des requêtes de "sondage" sont envoyées afin de rechercher un réseau Wifi possédant le nom aléatoire préalablement initialisé par le client Microsoft. Etant donné que l'opération de "parking" n'utilise pas de configuration sécurisée, le réseau "virtuel" sans-fil ainsi créé peut être un réseau sans authentification, ni chiffrement (système ouvert). Un pirate se trouvant à proximité de la victime peut surveiller ces requêtes de "sondage" et établir une connexion vers un client sans-fil.
    La mise à jour proposée par Microsoft permet d'inclure une configuration sécurisée dans la création du réseau sans-fil aléatoire (utilisation d'une clé de chiffrement aléatoire de type WPA2/WPA/WEP selon les possibilités du pilote de la carte réseau).
     
  • Lors de l'activation de la carte réseau sans-fil, le client de Windows tente de se connecter à tous les réseaux sans-fil de la liste de réseaux favoris auxquels l'ordinateur s'est connecté précédemment. Si aucun réseau en mode "infrastructure" n'est présent, le service de configuration automatique envoie des requêtes de "sondage" pour tenter de se connecter au premier réseau sans fil de type "ad hoc" de la liste de ses réseaux favoris. Un pirate se trouvant à proximité de la victime peut surveiller ces requêtes de "sondage" et établir une connexion à un client sans-fil en mode "ad-hoc".
    La mise à jour proposée par Microsoft empêche le service de configuration automatique d'envoyer des requêtes de "sondage" vis-à-vis des réseaux sans fil de type "ad hoc" figurant dans la liste de réseaux favoris. La sélection des réseaux en mode "ad-hoc" devra s'effectuer de manière manuelle.

 

Pour plus d'information :

 

Précedent Précedent Suivant Suivant Imprimer Imprimer