La sécurité des connexions Wi-Fi a été mise en danger cet été pour les utilisateurs de Windows avec la découverte de failles comme CVE-2024-30078.
Cette vulnérabilité, patchée depuis, peut permettre à des attaquants d'exécuter des actions malveillantes à distance sans intervention de l'utilisateur, en exploitant un défaut dans le pilote Wi-Fi de Windows.
Pour les utilisateurs non technophiles, cela signifie que se connecter à un réseau Wi-Fi non sécurisé, comme dans un café, peut exposer son appareil à des cyberattaques qui peuvent compromettre ses données personnelles ou permettre à des attaquants de prendre le contrôle du système.
Nous allons revenir sur le côté technique, et comment vérifier que le patch de sécurité a bien été appliqué sur votre(vos) machine(s).
Détails techniques
Le pilote Wi-Fi de Windows (fichier nwifi.sys) contient une faille qui peut être exploitée en envoyant des paquets réseau spécialement conçus. Ces paquets contiennent des données malveillantes qui, lorsqu’elles sont reçues, forcent le système à exécuter du code non autorisé, autrement dit, des commandes que l'attaquant a programmées.
Un attaquant peut envoyer des instructions invisibles à votre appareil via le réseau Wi-Fi. Une fois que ces instructions atteignent votre ordinateur, elles permettent à l'attaquant d'accéder aux différentes fonctions de votre ordinateur.
Cette faille affecte les versions Windows 10 et Windows 11, ainsi que certaines versions des serveurs Windows. Même si Microsoft a publié des correctifs, de nombreux appareils restent vulnérables, notamment ceux qui n'ont pas installé les dernières mises à jour.
Impact et scénarios possibles
Les attaquants pourraient utiliser cette faille pour :
- Espionner : accéder aux fichiers personnels et aux communications de l'utilisateur.
- Installer des logiciels malveillants : installer des virus, chevaux de Troie, ou logiciels espions.
- Prendre le contrôle à distance : agir sur l'appareil comme s'ils en étaient les propriétaires, sans que l'utilisateur ne s'en rende compte.
Méthodes de protection
Mises à jour du système d'exploitation
La première ligne de défense est de toujours garder son système à jour. Microsoft a publié les correctifs sous forme de KB (Knowledge Base). Voici les correctifs spécifiques pour les dernières versions de W10 et W11 :
Assurez-vous que ces mises à jour sont installées pour bloquer les tentatives d'exploitation.
La liste complète des KB est disponible sur la source "CERT Santé", en fin d'article.
Utilisation de VPN et réseaux sécurisés
Lorsque vous utilisez un Wi-Fi public, utilisez un VPN (réseau privé virtuel) pour chiffrer votre connexion. Cela masque vos données aux regards indiscrets, même si vous êtes sur un réseau non sécurisé.
Surveillance réseau
Les utilisateurs avancés peuvent utiliser des outils de surveillance réseau (WireShark, Zabbix, ...) pour repérer des paquets malveillants. Ces outils permettent de détecter des anomalies dans le flux réseau, indiquant une éventuelle tentative d'attaque.
Quel impact sur les entreprises ?
Avec l'essor du télétravail, les employés sont parfois amenés à travailler depuis des réseaux Wi-Fi publiques. La connexion sur ce type de réseau avec un poste d'entreprise non sécurité peut permettre à des acteurs malintentionnés d'accéder aux documents d'entreprise et permettre le cryptage des données ou l'espionnage industriel.
Bien que cette faille spécifique ne soit pas utilisée activement, c'est un bon rappel sur deux piliers vis-à-vis de la sécurité des données d'entreprise.
La formation continue des équipes quant aux comportements informatiques adaptés permets de maintenir un niveau de connaissance et d'alerte au sein des équipes.
Le MOOC de l'ANSSI est un bon exercice à suivre, accessible à tous, qui permets de reprendre les bases des problématiques de sécurité informatiques.
Pour les équipes techniques, maintenir un cycle de mise à jour de sécurité régulier via les serveurs de mise à jour Windows ou WSUS d'entreprise permets de maintenir le parc informatique à un niveau de sécurité suffisant.
Sources
