Wi-Fi

AirSnitch : attaque contre l’isolation des clients Wi-Fi et les réseaux invités

Comment la famille de vulnérabilités AirSnitch menace les réseaux d’entreprise, et quelles modifications vous devez apporter à votre architecture réseau et à vos paramètres pour rester protégé.

Stan Kaminsky
13 Mai 2026

Lors du symposium NDSS 2026 qui s’est tenu à San Diego en février, un groupe de chercheurs réputés a présenté une étude dévoilant l’attaque AirSnitch, qui contourne la fonctionnalité d’isolation des clients Wi-Fi, également connue sous le nom de « réseau invité » ou « isolation des appareils ». Cette attaque permet de se connecter à un réseau sans fil via un point d’accès, puis d’accéder à d’autres appareils connectés, y compris ceux utilisant des identifiants SSID (Service Set Identifier) totalement différents sur ce même matériel. Les appareils visés pourraient très bien être connectés à des sous-réseaux sans fil protégés par les protocoles WPA2 ou WPA3. En réalité, cette attaque ne compromet pas le chiffrement. Elle exploite plutôt la manière dont les points d’accès gèrent les clés de groupe et le routage des paquets.

Concrètement, cela signifie qu’un réseau invité n’offre pratiquement aucune sécurité réelle. Si vos réseaux invités et employés fonctionnent sur le même appareil physique, AirSnitch permet à un pirate connecté d’injecter du trafic malveillant dans les réseaux SSID voisins. Dans certains cas, il peut même lancer une attaque de l’homme du milieu (MitM).

La sécurité du réseau Wi-Fi et l’importance d’isoler les appareils

La sécurité Wi-Fi est en constante évolution. Chaque fois qu’une attaque concrète est menée contre la dernière génération de systèmes de protection, l’industrie se tourne vers des algorithmes et des procédures plus complexes. Ce cycle a commencé avec les attaques FMS utilisées pour pirater les clés de chiffrement WEP, et se poursuit encore aujourd’hui : parmi les exemples récents, on peut citer les attaques KRACK contre le chiffrement WPA2, ainsi que les FragAttacks, qui ont touché toutes les versions des protocoles de sécurité, du WEP au WPA3.

Il n’est pas facile d’attaquer efficacement (et discrètement) les réseaux Wi-Fi modernes. La plupart des professionnels s’accordent à dire que l’utilisation des protocoles WPA2/WPA3 avec des clés complexes et la séparation des réseaux en fonction de leur usage suffisent généralement à assurer une protection efficace. Cependant, seuls les spécialistes savent vraiment que l’isolation des clients n’a jamais été réellement standardisée dans les protocoles IEEE 802.11. Selon les fabricants, l’isolation est mise en œuvre de manière très différente : certains utilisent la couche 2, tandis que d’autres ont recours à la couche 3 de l’architecture réseau. Autrement dit, cette gestion s’effectue soit au niveau du routeur, soit au niveau du contrôleur Wi-Fi. Il en résulte que le comportement des sous-réseaux isolés varie considérablement en fonction du modèle de point d’accès ou de routeur utilisé.

Si le marketing affirme que l’isolation des clients est idéale pour empêcher les clients d’un restaurant ou d’un hôtel de s’attaquer entre eux (ou pour limiter les visiteurs professionnels à un simple accès Internet), en réalité, cela fonctionne surtout parce que personne n’essaie de compromettre ce mécanisme d’isolation. C’est exactement ce que met en évidence l’étude AirSnitch.

Types d’attaques AirSnitch

Le nom « AirSnitch » ne désigne pas seulement une seule vulnérabilité, mais toute une famille de vulnérabilités architecturales présentes dans les points d’accès Wi-Fi. C’est également le nom d’un outil open source utilisé pour tester la présence de ces vulnérabilités spécifiques sur les routeurs. Cependant, les professionnels de la sécurité doivent garder à l’esprit qu’il n’y a qu’une très fine ligne de démarcation entre les tests et les attaques.

Le mode opératoire de toutes ces attaques est le même : un client malveillant se connecte à un point d’accès (PA) sur lequel la fonction d’isolation est activée. Les autres utilisateurs, c’est-à-dire les cibles, sont connectés au même réseau SSID ou même à différents SSID sur ce même point d’accès. C’est un scénario tout à fait plausible. Par exemple, un réseau invité pourrait être ouvert et non chiffré, ou un pirate pourrait tout simplement obtenir le mot de passe du réseau Wi-Fi invité en se faisant passer pour un visiteur autorisé.

Lors de certaines attaques AirSnitch, le pirate doit connaître au préalable l’adresse MAC ou l’adresse IP de la victime. En fin de compte, l’efficacité de chaque attaque dépend du fabricant du matériel concerné (nous y reviendrons plus loin).

Attaque GTK

Après l’établissement d’une connexion WPA2/WPA3, le point d’accès et les clients s’accordent sur une clé transitoire de groupe (GTK) pour gérer le trafic diffusé. Dans ce scénario, le pirate dissimule des paquets destinés à une victime donnée dans un flux de diffusion. Il les envoie ensuite directement à la victime en usurpant l’adresse MAC du point d’accès. Cette attaque permet uniquement l’injection de trafic, ce qui signifie que l’attaquant ne recevra pas de réponse. Cependant, cette technique suffit à transmettre au client de fausses informations de routage ICMPv6, ou des messages DNS et ARP, contournant ainsi efficacement la mesure d’isolation. Il s’agit de la version la plus universelle de cette attaque, qui fonctionne sur n’importe quel réseau WPA2/WPA3 utilisant une clé GTK partagée. Cela dit, certains points d’accès destinés aux entreprises prennent en charge la randomisation des clés GTK pour chaque client individuel, ce qui rend cette technique particulière inefficace.

Redirection de paquets de diffusion

Cette variante de l’attaque n’exige même pas que le pirate s’authentifie au préalable auprès du point d’accès. Le pirate envoie des paquets au point d’accès avec une adresse de destination de diffusion (FF:FF:FF:FF:FF:FF) en définissant l’indicateur ToDS sur 1. Par conséquent, de nombreux points d’accès considèrent ce paquet comme du trafic diffusé légitime. Ils le chiffrent à l’aide de la clé GTK et le diffusent à tous les clients du sous-réseau, y compris à la victime. Tout comme dans la technique précédente, le trafic destiné à une seule victime peut y avoir été préalablement intégré.

Redirection de routeur

Cette attaque exploite une faille architecturale entre la sécurité de couche 2 et celle de couche 3 dans les équipements de certains fabricants. Le pirate envoie un paquet au point d’accès en indiquant l’adresse IP de la victime comme destination au niveau de la couche réseau (L3). Cependant, au niveau de la couche sans fil (L2), la destination est définie sur l’adresse MAC du point d’accès lui-même, ce qui empêche le filtre d’isolation de se déclencher. Le sous-système de routage (L3) renvoie alors soigneusement le paquet à la victime, en contournant complètement l’isolation L2. Tout comme les méthodes précédentes, il s’agit là d’une autre attaque de type « émission seule », dans laquelle le pirate ne peut pas voir la réponse.

Détournement de port pour intercepter des paquets

Le pirate se connecte au réseau en utilisant une version falsifiée de l’adresse MAC de la victime, puis inonde le réseau de réponses ARP indiquant que « cette adresse MAC se trouve sur mon port et mon réseau SSID ». Le routeur du réseau cible met à jour ses tables MAC et commence à acheminer le trafic de la victime vers ce nouveau port. Par conséquent, le trafic destiné à la victime aboutit chez le pirate, même si la victime est connectée à un réseau SSID totalement différent.

Dans le cas où un pirate se connecterait via un réseau ouvert et non chiffré, le trafic destiné à un client sur un réseau sécurisé par WPA2/WPA3 serait en réalité diffusé à la vue de tous, ce qui permettrait non seulement au pirate, mais aussi à toute personne se trouvant à proximité, de l’intercepter.

Détournement de port pour envoyer des paquets

Dans cette version, le pirate se connecte directement à l’adaptateur Wi-Fi de la victime et l’inonde de requêtes ARP en usurpant l’adresse MAC du point d’accès. L’ordinateur de la victime se met alors à envoyer son trafic sortant vers le pirate plutôt que vers le réseau. En lançant ces deux attaques de détournement simultanément, un pirate peut, dans plusieurs cas de figure, mener une attaque de l’homme du milieu (MitM).

Conséquences pratiques des attaques AirSnitch

En combinant plusieurs des techniques présentées ci-dessus, un pirate informatique peut orchestrer des actions particulièrement dangereuses :

Interception complète du trafic dans les deux sens pour mener une attaque de l’homme du milieu. Cela signifie qu’ils peuvent intercepter et modifier les données transitant entre la victime et le point d’accès sans que celle-ci s’en aperçoive.
Passage d’un réseau SSID à l’autre. Un pirate connecté à un réseau invité peut accéder aux ordinateurs d’un réseau d’entreprise sécurisé si les deux réseaux sont reliés au même point d’accès physique.
Attaques visant le protocole RADIUS. Comme de nombreuses entreprises utilisent l’authentification RADIUS pour leur réseau Wi-Fi d’entreprise, un pirate peut usurper l’adresse MAC du point d’accès afin d’intercepter les paquets d’authentification RADIUS initiaux. À partir de là, ils peuvent procéder à une attaque par force brute pour obtenir le secret partagé. Une fois qu’ils disposent de ces informations, ils peuvent mettre en place un serveur RADIUS et un point d’accès non autorisés afin de détourner les données de tout appareil qui s’y connecte.
Exposition de données non chiffrées provenant de sous-réseaux « sécurisés » : le trafic censé être acheminé vers un client à l’aide du protocole WPA2/WPA3 peut être rediffusé sur un réseau invité ouvert, où il est en fait diffusé à la vue de tous.

Pour mener à bien ces attaques, un pirate informatique a besoin d’un appareil capable de transmettre et de recevoir simultanément des données à la fois avec l’adaptateur de la victime et le point d’accès. Dans la pratique, il s’agit généralement d’un ordinateur portable équipé de deux adaptateurs Wi-Fi utilisant des pilotes Linux spécialement configurés. Il convient de noter que cette attaque n’est pas tout à fait discrète : elle nécessite un flux important de paquets ARP, peut provoquer de brèves perturbations du réseau Wi-Fi au moment où elle démarre, et les débits réseau peuvent chuter jusqu’à environ 10 Mbit/s. Malgré ces signaux d’alerte, elle reste une menace bien réelle dans de nombreux environnements.

Appareils vulnérables

Dans le cadre de cette étude, plusieurs points d’accès et routeurs destinés aux entreprises et aux particuliers ont été mis à l’épreuve. La liste comprenait des produits de Cisco, Netgear, Ubiquiti, Tenda, D-Link, TP-Link, LANCOM et ASUS, ainsi que des routeurs équipés de micrologiciels communautaires populaires tels que DD-WRT et OpenWrt. Chacun des appareils testés s’est révélé vulnérable à au moins certaines des attaques décrites ici. Plus inquiétant encore, le D-Link DIR-3040 et le LANCOM LX-6500 étaient vulnérables à toutes les variantes d’attaques AirSnitch.

Il est intéressant de noter que certains routeurs étaient équipés de mécanismes de protection qui bloquaient les attaques, même si les failles architecturales sous-jacentes étaient toujours présentes. Par exemple, le routeur Tenda RX2 Pro déconnecte automatiquement tout client dont l’adresse MAC apparaît simultanément sur deux BSSID, ce qui empêche efficacement le détournement de port.

Les chercheurs soulignent que tout administrateur réseau ou équipe de sécurité informatique qui prend la défense au sérieux devrait tester ses propres configurations spécifiques. C’est le seul moyen d’identifier précisément les menaces qui concernent spécifiquement la configuration de votre organisation.

Comment protéger votre réseau d’entreprise contre les attaques AirSnitch

La menace est particulièrement pressante pour les organisations qui exploitent des réseaux Wi-Fi invités et d’entreprise sur les mêmes points d’accès sans segmentation VLAN supplémentaire. Les entreprises qui utilisent le protocole RADIUS avec des paramètres obsolètes ou des secrets partagés peu sûrs pour l’authentification sans fil s’exposent également à des risques importants.

En fin de compte, il faut cesser de considérer l’isolation des clients sur un point d’accès comme une véritable mesure de sécurité, et commencer à la voir simplement comme une fonctionnalité pratique. Les mesures de sécurité réelles doivent être abordées différemment :

Segmentez le réseau à l’aide de réseaux VLAN. Chaque SSID doit disposer de son propre VLAN, avec un marquage strict des paquets 802.1Q entre le point d’accès et le pare-feu ou le routeur.
Mettez en place une inspection plus rigoureuse des paquets au niveau du routage, en fonction des capacités matérielles. Des fonctionnalités telles que l’inspection ARP dynamique, la surveillance DHCP et la limitation du nombre d’adresses MAC par port contribuent à la protection contre l’usurpation d’adresse IP/MAC.
Activez des clés GTK individuelles pour chaque client, si votre matériel le permet.
Utilisez des paramètres RADIUS et 802.1X plus résilients, notamment des suites de chiffrement modernes et des secrets partagés robustes.
Consignez et analysez les anomalies d’authentification EAP/RADIUS dans votre système SIEM. Vous pourrez ainsi détecter de nombreuses tentatives d’attaque, en plus d’AirSnitch. Parmi les autres événements suspects, on peut citer l’apparition d’une même adresse MAC sur différents SSID, les pics de requêtes ARP ou les clients passant rapidement d’un BSSID ou d’un VLAN à l’autre.
Appliquez la sécurité aux niveaux supérieurs de la topologie du réseau. Bon nombre de ces attaques perdent tout leur impact si l’organisation a déployé les protocoles TLS et HSTS sur l’ensemble du trafic des applications d’entreprise, impose l’utilisation d’un VPN actif pour toutes les connexions Wi-Fi ou a pleinement adopté une architecture Zero Trust.

Des clones de portefeuilles de cryptomonnaies sur l'App Store et d'autres attaques visant les propriétaires de cryptomonnaies sur iOS et macOS

Les voleurs de cryptomonnaies multiplient leurs attaques contre les utilisateurs d’Apple

Nous avons découvert plus d’une vingtaine d’applications de phishing ressemblant à des portefeuilles de cryptomonnaies populaires, disponibles directement sur l’App Store officiel. Voici un aperçu des nouvelles séries d’attaques visant les utilisateurs d’iPhone et de Mac ainsi que leurs avoirs en cryptomonnaies.

Conseils

Votre système de sécurité est-il fiable ?

Protéger une console de sécurité est plus important qu’on ne le pense. Voici tout ce qu’il faut savoir sur la compromission de la couche de contrôle et sur les mesures de prévention.

Déconnecté : comment désactiver l’IA sur votre ordinateur et votre smartphone

Vous en avez assez des hallucinations dans les résumés de l’IA et vous ne savez pas pourquoi ni comment Copilot est apparu soudainement sur votre ordinateur ? Voici un guide pour désactiver les fonctions intrusives de l’IA dans les services les plus courants.

Un cheval de Troie Android se fait passer pour des services gouvernementaux et des applications Starlink

Nous analysons l’attaque du cheval de Troie BeatBanker, qui combine espionnage, vol de cryptomonnaies et minage, avec des méthodes inventives pour s’ancrer dans un smartphone.

Attaques « navigateur dans le navigateur » : de la théorie à la réalité

Une attaque de type « navigateur dans le navigateur », décrite théoriquement en 2022, a été adoptée dans des cas de phishing réels. Nous expliquons comment cette attaque fonctionne et comment repérer une fausse fenêtre d’authentification.

Protection des enfants