Pour se protéger suffisamment contre KRACK, le patch du client, de l'AP ou des deux est-il nécessaire?

Pour protéger pleinement votre réseau, l'appareil et le point d'accès devront être corrigés:

Source: https://www.krackattacks.com/#faq

Enfin, bien qu'un client non patché puisse toujours se connecter à un AP patché, et vice versa, le client et le PA doivent être patchés pour se défendre contre toutes les attaques!

TL; DR: Il suffit souvent (mais pas toujours) de patcher correctement le client WiFi.
Vous devez également corriger le routeur pour qu'il fonctionne également comme client WiFi (par exemple, un répéteur) ou que l'itinérance rapide (802.11r) soit activée.

La partie essentielle des attaques est que le client accepte à nouveau le message 3 de la négociation à 4 voies, ce qui oblige le client à réinstaller la même clé de chiffrement et à réinitialiser la protection contre les nonce et la relecture, ce qui rend la relecture et parfois même l'injection possible.

Cela signifie que si le client est corrigé pour ne pas accepter un message 3 qui contient la même clé que déjà installé, il ne réinstallera pas la clé et ne réinitialisera pas la protection nonce et la relecture. Cela devrait être suffisant pour déjouer l'attaque, que le serveur soit corrigé ou non.

En outre, directement tiré du https://www.krackattacks.com :

Que faire s'il n'y a pas de mises à jour de sécurité pour mon routeur?

Notre attaque principale est contre la poignée de main à 4 voies et n'exploite pas les points d'accès, mais cible plutôt les clients. Il se peut donc que votre routeur ne nécessite pas de mises à jour de sécurité . Nous vous conseillons fortement de contacter votre fournisseur pour plus de détails. En général cependant, vous pouvez essayer d'atténuer les attaques contre les routeurs et les points d'accès en en désactivant la fonctionnalité client (qui est par exemple utilisée dans les modes répéteurs) et en désactivant 802.11 r (itinérance rapide). Pour les utilisateurs à domicile ordinaires, votre priorité doit être la mise à jour des clients tels que les ordinateurs portables et les smartphones .

Selon cela IBM XForce post :

[...] Les attaques doivent être à portée du point d'accès et du client. Le client et le point d'accès doivent être corrigés afin d'être protégés contre ces attaques. Si le point d'accès est corrigé, mais pas le client, l'exploitation est toujours possible.

_{Avant mardi @ 2017-10-17 10: 42a CDT: IBM a déclaré:}

^{[...] si même un seul des appareils (client ou point d'accès) a été patché, la paire n'est pas vulnérable à cette forme d'attaque.}

^{J'ai laissé le texte original à des fins historiques.}

J'entends les choses dans les deux sens, c'est difficile à dire. Le document mentionnant à la fois les clients et les points d'accès sonne comme s'il y avait au moins quelque chose à faire des deux côtés. Ce commentaire a du sens pour moi: "la plupart des points d'accès iront bien, mais ceux qui exécutent des fonctions client (par exemple les répéteurs) auront besoin d'une mise à jour."

Désolé de ne pas pouvoir donner de réponse définitive, je mettrai à jour si j'en trouve une. J'espère que cela a aidé au moins.

Un point qui peut être oublié est le redoublement. Si votre configuration est un <-> répéteur <-> routeur <-> ligne à large bande et que le répéteur/routeur n'est pas corrigé et connecté via WiFi, alors tout trafic entre le routeur et le répéteur pourrait être reniflé indirectement, y compris tout ce que votre ordinateur envoie ou reçoit.

Dans cette situation, si seulement le répéteur est patché, tout est en sécurité. Sinon, l'ordinateur et le routeur doivent être corrigés car ils se connectent tous les deux au répéteur non corrigé.

Le site officiel de krackattacks.com a maintenant this FAQ entry :

Est-il suffisant de patcher uniquement le point d'accès? Ou pour patcher uniquement les clients?

Actuellement, tous les appareils vulnérables doivent être corrigés. En d'autres termes, l'application de correctifs à l'AP n'empêchera pas les attaques contre les clients vulnérables. De même, l'application de correctifs à tous les clients n'empêchera pas les attaques contre les points d'accès vulnérables. Notez que seuls les points d'accès qui prennent en charge la négociation rapide BSS Transition (802.11r) peuvent être vulnérables.

Cela dit, nous travaillons sur modifications des points d'accès qui empêchent les attaques contre les clients vulnérables . Ces modifications sont différentes des correctifs de sécurité pour les points d'accès vulnérables! Donc, à moins que votre fournisseur de points d'accès ne mentionne explicitement que leurs correctifs empêchent les attaques contre les clients, vous devez également corriger les clients.

Cela explique pourquoi il y a tellement de confusion autour de cette question, ici et ailleurs sur le Web.

Techniquement parlant, seuls les clients (y compris les points d'accès qui agissent en tant que client, tels que les répéteurs) et les points d'accès qui prennent en charge la négociation rapide BSS Transition sont vulnérables et doivent être corrigés.

Cependant, il est possible de modifier les points d'accès de manière à empêcher les attaques contre les clients même si les clients sont vulnérables (bien que le point d'accès lui-même ne le soit pas). Cette modification est complètement différente de la modification nécessaire pour "corriger" les points d'accès vulnérables (ceux agissant comme répéteur ou prenant en charge les transitions BSS rapides), donc un correctif pour vos points d'accès peut ou non empêcher les attaques contre les clients vulnérables en fonction du type exact de "fixer" le patch contient.

Ainsi, en fonction des capacités de votre point d'accès et du type de correctifs disponibles, vous devrez au moins corriger uniquement votre point d'accès, vos clients ou les deux pour vous défendre contre cette attaque. Évidemment, dans le scénario idéal, tous les appareils vulnérables devraient être corrigés, quelles que soient les atténuations supplémentaires mises en œuvre sur le point d'accès.

En réponse à la question de savoir si le patching de l'AP seul est suffisant:

Référence: correctif WIP dans 'wpa_supplicant' utilisé dans la plupart des distributions Linux

Selon le commit ci-dessus - il semble possible d'empêcher l'attaque en corrigeant uniquement l'AP:

Cette option peut être utilisée pour contourner les attaques de réinstallation clés du côté de la station (demandeur) dans le cas où ces périphériques de station ne peuvent pas être mis à jour pour une raison quelconque. En supprimant les retransmissions, l'attaquant ne peut pas provoquer la réinstallation des clés avec une transmission de trame retardée. Cela est lié aux vulnérabilités côté station CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080 et CVE-2017-13081.

Cependant, ceci est facultatif, une version par défaut de ce module peut ne pas avoir cette option activée.

Sur la base des autres validations/commentaires associés, il semble que la meilleure option soit de patcher le client.

Patcher l'AP n'est nécessaire que si l'AP se comporte comme un client.

Par exemple:

1. S'il prend en charge l'itinérance rapide (802.11r).

2. Fait partie d'une maille (feuille de maille) comme dans les produits Fortinet

3. Peut agir comme un répéteur

4. Prend en charge le trafic de station à station

Dans ces cas, l'AP doit également être corrigé.

MAIS ... Patcher l'AP atténuera également l'attaque sur les clients non corrigés qui se connectent à cet AP (en n'envoyant pas de Msg3 mis à zéro), donc vous devrez peut-être patcher l'AP afin de protéger vos clients.

Mathy Vanhoef, le chercheur qui a découvert la vulnérabilité KRACK et donc la source la plus autorisée disponible sur ce sujet, a levé toute ambiguïté dans un interview vidéo pour Tech News Weekly:

En tant qu'utilisateur à domicile, si vous avez effectué une mise à jour sur votre Windows et vos appareils IOS, dans ce cas, je dirais que vous êtes en sécurité.

Lorsque vous vous connectez à une entreprise plus importante ou à un réseau plus commercial, par exemple une université ou une entreprise qui a beaucoup de points d'accès, de sorte que la technologie sans fil est diffusée à de nombreux endroits, il peut toujours y avoir un avantage dans le l'équipement qu'ils utilisent.

Mais, pour votre réseau domestique, si vous venez de mettre à jour votre Windows, ou vos ordinateurs portables et vos smartphones, vous êtes déjà en sécurité.

De plus, il a plus tard ajouté :

La plupart des attaques KRACK contre des clients vulnérables peuvent être évitées en modifiant le routeur/point d'accès. Cela peut même être possible uniquement via des modifications de configuration AP (sans mises à jour). L'exemple est solutions de contournement Cisco . Bien que cela puisse affecter la fiabilité des poignées de main dans certains cas Edge (par exemple avec des clients lents ou des connexions non fiables).