FCA – Atténuation de l’attaque Evil-twin EAPHammer pour eduroam

Problème

Nous avons appris que les utilisateurs d’eduroam pourraient être victimes d’une brèche de sécurité si leur appareil n’est pas correctement configuré.

Contexte

Une institution qui effectuait des tests de pénétration a réussi à infiltrer le réseau sans fil d’eduroam en déployant un point d’accès (AP) sauvage. Le « jumeau maléfique » de l’AP, qui diffusait le SSID « eduroam », a réussi à récupérer l’identifiant de plusieurs appareils mal configurés (au moyen de l’outil public EAPHammer), puis à déchiffrer les mots de passe des appareils piratés.

Le vecteur d’attaque n’est pas nouveau, mais sa mobilisation gagne en facilité. Sa visibilité ira grandissant à mesure qu’augmente le nombre d’institutions effectuant des essais de pénétration sur leur campus et que (certains) étudiants tentent de voir comment franchir le mur de protection de l’institution.

Que faire? Personnel IT

Nous recommandons vivement que les institutions qui adhèrent à la Fédération canadienne d’accès créent un profil de sécurité CAT (Configuration Assistant Tool) qui accepte les identifiants externes anonymes en sélectionnant l’option « Enable Anonymous Outer Identity » 1 lors de sa configuration et recourent à cet outil pour installer eduroam sur les appareils des utilisateurs, comme l’indique la documentation sur la mise en œuvre.

Cet outil fait en sorte que les appareils aient tous le bon certificat de sécurité et évitera que les noms d’utilisateur se retrouvent en danger.

Créer un profil CAT pour l’institution est aussi rapide que facile sur le site cat.eduroam.org. Vous trouverez des instructions (en anglais uniquement) précises pour cela ici.

Autres pratiques recommandées en sécurité

  • Incitez fortement les utilisateurs à éviter les raccourcis (par ex., en sautant le certificat de sécurité) et ainsi provoquer une brèche dans leur système de protection.
  • Isolez les AP pour atténuer les risques d’attaque transversale. La validation des certificats de sécurité est désactivée dans leurs paramètres de sécurité sur l’appareil.
  • Séparez les utilisateurs par groupes (les visiteurs d’eduroam hors du pare-feu, les utilisateurs en qui on a confiance à l’intérieur).

Que faire? Étudiants, employés et enseignants

S’ils ont l’habitude d’agir de la manière décrite ci-dessous, les étudiants, les employés et les membres du corps professoral sont à la merci des attaques d’un éventuel « jumeau maléfique ».

  • Ils n’ont pas installé le certificat courant et valide de l’institution sur leur appareil avec l’outil CAT.
  • Ils ne tiennent pas compte des avertissements concernant un certificat douteux et vont quand même de l’avant.
  • La validation des certificats a été désactivée dans les paramètres de sécurité de leur appareil.

Nous préconisons fortement que l’institution coopère avec les groupes d’utilisateurs pour faire en sorte que les pratiques de sécurité recommandées soient respectées.

Ce que fait CANARIE

L’équipe CANARIE prendra les mesures suivantes.

  • Elle s’assurera que les principaux contacts techniques pour eduroam de la Fédération canadienne d’accès puissent créer et gérer le profil CAT de leur institution. Si vous avez des questions sur l’accès au portail https://cat.eduroam.org/, veuillez nous contacter à l’adresse tickets@canarie.ca.
  • Elle poursuivra son travail avec ses partenaires internationaux pour rehausser les mesures de protection des utilisateurs d’eduroam.
  • Elle remettra aux institutions de la documentation afin qu’elles puissent promouvoir plus aisément la configuration des appareils avec un profil CAT (à venir).

En savoir plus

On trouvera des informations complémentaires sur les meilleures pratiques concernant la sécurité sur eduroam ici.


1 D’autres étapes sont requises pour configurer l’identifiant externe anonyme si vous utilisez Network Policy Server (NPS) de Microsoft. Vous trouverez les instructions pour cela ici.