Accueil › Wireless SecuritySSID Stripping : Nouvelle méthode pour inciter les utilisateurs à se connecter à des points d’accès non autorisés Par Eduard Kovacs le 13 septembre 2021 Tweet Une équipe de chercheurs a identifié ce qui semble être une nouvelle méthode que les acteurs malveillants pourraient utiliser pour inciter les utilisateurs à se connecter à leur points d’accès sans fil (AP). La méthode, baptisée SSID Stripping, a été dévoilée lundi par AirEye, spécialiste de la sécurité sans fil. Il a été découvert en collaboration avec des chercheurs du Technion – Israel Institute of Technology. Selon les chercheurs, le SSID Stripping affecte les appareils exécutant Windows, macOS, Ubuntu, Android et iOS. Ils ont montré comment un attaquant pouvait manipuler le nom d’un réseau sans fil, en particulier le SSID (Service Set Identifier), afin qu’il soit affiché à l’utilisateur avec le nom d’un réseau légitime. Ils ont pu générer trois types de ce qu’ils décrivent comme des « erreurs d’affichage ». L’un d’eux consiste à insérer un octet NULL dans le SSID, ce qui oblige les appareils Apple à afficher uniquement la partie du nom qui se trouve avant cet octet. Sur les appareils Windows, l’attaquant pourrait utiliser des caractères de « nouvelle ligne » pour obtenir le même effet. Un autre type d’erreur d’affichage — celles-ci semblent être les plus courantes — peut être déclenchée à l’aide de caractères non imprimables. Un attaquant peut ajouter des caractères spéciaux au SSID qui seront inclus dans le nom, mais ne seront pas réellement affichés à l’utilisateur. “Par exemple, le nom du réseau ‘aireye_x1cnetwork’ (avec x1c représentant un octet avec la valeur 0x1C hex), s’affiche exactement de la même manière que ‘aireye_network'”, ont expliqué les chercheurs. Le troisième type d’erreur d’affichage consiste à extraire une certaine partie du nom du réseau de la partie visible de l’écran. “Par exemple, un SSID de la forme ‘aireye_networknnnnnnnnnnnnrogue’ (où ‘n’ désigne le caractère de nouvelle ligne) peut être affiché par un iPhone en tant que ‘aireye_network’ puisque le mot ‘rogue’ est poussé hors de l’écran”, ont déclaré les chercheurs. . “Avec les erreurs de type 2, cela peut être utilisé pour masquer efficacement le suffixe d’un nom de réseau malveillant.” La menace posée par l’usurpation d’identité SSID est connue depuis de nombreuses années. Si un attaquant parvient à convaincre un utilisateur de se connecter à sa propre connexion Wi-Fi, il peut être en mesure d’intercepter les communications de la victime et de voler ses données. Les attaques impliquent souvent que l’attaquant configure un point d’accès non autorisé portant le même nom qu’une connexion généralement utilisée par la cible. Cependant, les fournisseurs de systèmes d’exploitation ont mis en place des protections conçues pour empêcher les utilisateurs de se connecter involontairement à des points d’accès non autorisés en faisant correspondre non seulement le nom d’une connexion, mais également d’autres attributs avant de s’y connecter automatiquement. Dans une attaque SSID Stripping, l’utilisateur verrait une connexion dont le nom correspond à une connexion en laquelle il a confiance, mais il devrait s’y connecter manuellement pour que l’attaque fonctionne. D’un autre côté, cela contourne les contrôles de sécurité susmentionnés, car l’appareil traite le nom réel du SSID – la chaîne que l’attaquant a saisie, pas ce que la victime voit à l’écran – et n’empêche pas la victime de se connecter à l’escroc. AP. Les chercheurs ont décrit leurs découvertes comme une vulnérabilité, mais les fournisseurs concernés ne semblent pas les considérer comme un problème de sécurité sérieux. AirEye a déclaré que les résultats avaient été signalés à Apple, Microsoft, Google (Android) et Canonical (Ubuntu) en juillet. Bien qu’ils aient tous reconnu le problème, ils l’ont classé comme ayant des « implications de sécurité mineures » et il est peu probable qu’ils implémentent des correctifs de sitôt. « Les entreprises doivent réaliser que la sécurité Wi-Fi ne se limite pas à définir la bonne méthode d’authentification », a déclaré AirEye dans son article de blog. « Les appareils compatibles sans fil sont exposés à de nombreuses menaces liées à la nature ouverte du support – tout le monde peut envoyer des trames dans les airs et chaque appareil doté de capacités sans fil traite constamment de telles trames. Les attaquants peuvent exploiter le support Wi-Fi afin de contourner les contrôles de sécurité réseau existants et accéder aux réseaux d’entreprise via des appareils sans fil vulnérables. Il est temps pour les entreprises d’envisager des solutions pour surveiller, contrôler et protéger l’espace aérien du réseau qui les entoure. » AirEye a publié un outil gratuit qui peut être utilisé par les organisations pour évaluer la sensibilité des appareils d’entreprise aux attaques SSID Stripping. Connexe : Apple a corrigé silencieusement la vulnérabilité d’exécution de code Wi-Fi en 0 clic dans iOS Connexe : correctifs de mise à jour de sécurité iOS Vulnérabilité Wi-Fi récemment divulguée Obtenez le briefing quotidien le plus récent FORCEDENTRY Zero-Days Stripping SSID : nouvelle méthode pour inciter les utilisateurs à se connecter à des points d’accès malveillants Des dizaines de milliers de VPN Fortinet non corrigés piratés via une ancienne faille de sécurité Tenable d’acquérir Accurics dans un contrat de 160 millions de dollars Les RSSI confrontés aux frictions et à la résistance des travailleurs à distance aux contrôles de sécurité Facebook Annonce des sauvegardes cryptées WhatsApp WordPress 5.8.1 Correctifs Plusieurs vulnérabilités Correctifs Citrix Vulnérabilités de l’hyperviseur permettant la compromission de l’hôte OpenSSL 3.0 publié après 3 ans de développement Vous recherchez des logiciels malveillants aux mauvais endroits ? Première étape pour les 25 prochaines années d’Internet : ajouter de la sécurité au DNS Tattle Tale : ce que votre ordinateur dit de vous Soyez en mesure d’agir grâce à la cyber-information sur la situation. Soyez un escroc. Ne laissez pas le DNS être votre point de défaillance unique Comment identifier les logiciels malveillants en un clin d’œil Définir et débattre de la cyberguerre Les cinq A qui rendent la cybercriminalité si attrayante Comment se défendre contre les attaques DDoS Les budgets de sécurité ne correspondent pas aux menaces Anycast – Trois raisons pour lesquelles votre Le réseau DNS devrait l’utiliser L’évolution de l’entreprise étendue : stratégies de sécurité pour les organisations avant-gardistes utilisant le DNS dans l’entreprise étendue : c’est une entreprise risquée .