{"id":23904,"date":"2026-05-13T14:27:49","date_gmt":"2026-05-13T12:27:49","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23904"},"modified":"2026-05-13T14:27:49","modified_gmt":"2026-05-13T12:27:49","slug":"airsnitch-wi-fi-client-isolation-guest-network-vulnerability-and-mitigation","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/airsnitch-wi-fi-client-isolation-guest-network-vulnerability-and-mitigation\/23904\/","title":{"rendered":"AirSnitch : attaque contre l’isolation des clients Wi-Fi et les r\u00e9seaux invit\u00e9s"},"content":{"rendered":"

Lors du symposium NDSS 2026 qui s\u2019est tenu \u00e0 San Diego en f\u00e9vrier, un groupe de chercheurs r\u00e9put\u00e9s a pr\u00e9sent\u00e9 une \u00e9tude d\u00e9voilant l\u2019attaque AirSnitch<\/a>, qui contourne la fonctionnalit\u00e9 d\u2019isolation des clients Wi-Fi, \u00e9galement connue sous le nom de \u00ab\u00a0r\u00e9seau invit\u00e9\u00a0\u00bb ou \u00ab\u00a0isolation des appareils\u00a0\u00bb. Cette attaque permet de se connecter \u00e0 un r\u00e9seau sans fil via un point d\u2019acc\u00e8s, puis d\u2019acc\u00e9der \u00e0 d\u2019autres appareils connect\u00e9s, y compris ceux utilisant des identifiants SSID<\/a> (Service Set Identifier) totalement diff\u00e9rents sur ce m\u00eame mat\u00e9riel. Les appareils vis\u00e9s pourraient tr\u00e8s bien \u00eatre connect\u00e9s \u00e0 des sous-r\u00e9seaux sans fil prot\u00e9g\u00e9s par les protocoles WPA2 ou WPA3. En r\u00e9alit\u00e9, cette attaque ne compromet pas le chiffrement. Elle exploite plut\u00f4t la mani\u00e8re dont les points d\u2019acc\u00e8s g\u00e8rent les cl\u00e9s de groupe et le routage des paquets.<\/p>\n

Concr\u00e8tement, cela signifie qu\u2019un r\u00e9seau invit\u00e9 n\u2019offre pratiquement aucune s\u00e9curit\u00e9 r\u00e9elle. Si vos r\u00e9seaux invit\u00e9s et employ\u00e9s fonctionnent sur le m\u00eame appareil physique, AirSnitch permet \u00e0 un pirate connect\u00e9 d\u2019injecter du trafic malveillant dans les r\u00e9seaux SSID voisins. Dans certains cas, il peut m\u00eame lancer une attaque de l\u2019homme du milieu<\/a> (MitM).<\/p>\n

La s\u00e9curit\u00e9 du r\u00e9seau Wi-Fi et l\u2019importance d\u2019isoler les appareils<\/h2>\n

La s\u00e9curit\u00e9 Wi-Fi est en constante \u00e9volution. Chaque fois qu\u2019une attaque concr\u00e8te est men\u00e9e contre la derni\u00e8re g\u00e9n\u00e9ration de syst\u00e8mes de protection, l\u2019industrie se tourne vers des algorithmes et des proc\u00e9dures plus complexes. Ce cycle a commenc\u00e9 avec les attaques FMS<\/a> utilis\u00e9es pour pirater les cl\u00e9s de chiffrement WEP, et se poursuit encore aujourd\u2019hui\u00a0: parmi les exemples r\u00e9cents, on peut citer les attaques KRACK<\/a> contre le chiffrement WPA2, ainsi que les FragAttacks<\/a>, qui ont touch\u00e9 toutes les versions des protocoles de s\u00e9curit\u00e9, du WEP au WPA3.<\/p>\n

Il n\u2019est pas facile d\u2019attaquer efficacement (et discr\u00e8tement) les r\u00e9seaux Wi-Fi modernes. La plupart des professionnels s\u2019accordent \u00e0 dire que l\u2019utilisation des protocoles WPA2\/WPA3 avec des cl\u00e9s complexes et la s\u00e9paration des r\u00e9seaux en fonction de leur usage suffisent g\u00e9n\u00e9ralement \u00e0 assurer une protection efficace. Cependant, seuls les sp\u00e9cialistes savent vraiment que l\u2019isolation des clients n\u2019a jamais \u00e9t\u00e9 r\u00e9ellement standardis\u00e9e dans les protocoles IEEE\u00a0802.11. Selon les fabricants, l\u2019isolation est mise en \u0153uvre de mani\u00e8re tr\u00e8s diff\u00e9rente\u00a0: certains utilisent la couche\u00a02, tandis que d\u2019autres ont recours \u00e0 la couche\u00a03 de l\u2019architecture<\/a> r\u00e9seau. Autrement dit, cette gestion s\u2019effectue soit au niveau du routeur, soit au niveau du contr\u00f4leur Wi-Fi. Il en r\u00e9sulte que le comportement des sous-r\u00e9seaux isol\u00e9s varie consid\u00e9rablement en fonction du mod\u00e8le de point d\u2019acc\u00e8s ou de routeur utilis\u00e9.<\/p>\n

Si le marketing affirme que l\u2019isolation des clients est id\u00e9ale pour emp\u00eacher les clients d\u2019un restaurant ou d\u2019un h\u00f4tel de s\u2019attaquer entre eux (ou pour limiter les visiteurs professionnels \u00e0 un simple acc\u00e8s Internet), en r\u00e9alit\u00e9, cela fonctionne surtout parce que personne n\u2019essaie de compromettre ce m\u00e9canisme d\u2019isolation. C\u2019est exactement ce que met en \u00e9vidence l\u2019\u00e9tude AirSnitch.<\/p>\n

Types d\u2019attaques AirSnitch<\/h2>\n

Le nom \u00ab\u00a0AirSnitch\u00a0\u00bb ne d\u00e9signe pas seulement une seule vuln\u00e9rabilit\u00e9, mais toute une famille de vuln\u00e9rabilit\u00e9s architecturales pr\u00e9sentes dans les points d\u2019acc\u00e8s Wi-Fi. C\u2019est \u00e9galement le nom d\u2019un outil open source utilis\u00e9 pour tester la pr\u00e9sence de ces vuln\u00e9rabilit\u00e9s sp\u00e9cifiques sur les routeurs. Cependant, les professionnels de la s\u00e9curit\u00e9 doivent garder \u00e0 l\u2019esprit qu\u2019il n\u2019y a qu\u2019une tr\u00e8s fine ligne de d\u00e9marcation entre les tests et les attaques.<\/p>\n

Le mode op\u00e9ratoire de toutes ces attaques est le m\u00eame\u00a0: un client malveillant se connecte \u00e0 un point d\u2019acc\u00e8s (PA) sur lequel la fonction d\u2019isolation est activ\u00e9e. Les autres utilisateurs, c\u2019est-\u00e0-dire les cibles, sont connect\u00e9s au m\u00eame r\u00e9seau SSID ou m\u00eame \u00e0 diff\u00e9rents SSID sur ce m\u00eame point d\u2019acc\u00e8s. C\u2019est un sc\u00e9nario tout \u00e0 fait plausible. Par exemple, un r\u00e9seau invit\u00e9 pourrait \u00eatre ouvert et non chiffr\u00e9, ou un pirate pourrait tout simplement obtenir le mot de passe du r\u00e9seau Wi-Fi invit\u00e9 en se faisant passer pour un visiteur autoris\u00e9.<\/p>\n

Lors de certaines attaques AirSnitch, le pirate doit conna\u00eetre au pr\u00e9alable l\u2019adresse MAC ou l\u2019adresse IP de la victime.\u00a0 En fin de compte, l\u2019efficacit\u00e9 de chaque attaque d\u00e9pend du fabricant du mat\u00e9riel concern\u00e9 (nous y reviendrons plus loin).<\/p>\n

Attaque GTK<\/h3>\n

Apr\u00e8s l\u2019\u00e9tablissement d\u2019une connexion WPA2\/WPA3, le point d\u2019acc\u00e8s et les clients s\u2019accordent sur une cl\u00e9 transitoire de groupe (GTK) pour g\u00e9rer le trafic diffus\u00e9. Dans ce sc\u00e9nario, le pirate dissimule des paquets destin\u00e9s \u00e0 une victime donn\u00e9e dans un flux de diffusion. Il les envoie ensuite directement \u00e0 la victime en usurpant l\u2019adresse MAC du point d\u2019acc\u00e8s. Cette attaque permet uniquement l\u2019injection de trafic, ce qui signifie que l\u2019attaquant ne recevra pas de r\u00e9ponse. Cependant, cette technique suffit \u00e0 transmettre au client de fausses informations de routage ICMPv6, ou des messages DNS et ARP, contournant ainsi efficacement la mesure d\u2019isolation. Il s\u2019agit de la version la plus universelle de cette attaque, qui fonctionne sur n\u2019importe quel r\u00e9seau WPA2\/WPA3 utilisant une cl\u00e9 GTK partag\u00e9e. Cela dit, certains points d\u2019acc\u00e8s destin\u00e9s aux entreprises prennent en charge la randomisation des cl\u00e9s GTK pour chaque client individuel, ce qui rend cette technique particuli\u00e8re inefficace.<\/p>\n

Redirection de paquets de diffusion<\/h3>\n

Cette variante de l\u2019attaque n\u2019exige m\u00eame pas que le pirate s\u2019authentifie au pr\u00e9alable aupr\u00e8s du point d\u2019acc\u00e8s. Le pirate envoie des paquets au point d\u2019acc\u00e8s avec une adresse de destination de diffusion (FF:FF:FF:FF:FF:FF) en d\u00e9finissant l\u2019indicateur ToDS sur 1.\u00a0 Par cons\u00e9quent, de nombreux points d\u2019acc\u00e8s consid\u00e8rent ce paquet comme du trafic diffus\u00e9 l\u00e9gitime. Ils le chiffrent \u00e0 l\u2019aide de la cl\u00e9 GTK et le diffusent \u00e0 tous les clients du sous-r\u00e9seau, y compris \u00e0 la victime. Tout comme dans la technique pr\u00e9c\u00e9dente, le trafic destin\u00e9 \u00e0 une seule victime peut y avoir \u00e9t\u00e9 pr\u00e9alablement int\u00e9gr\u00e9.<\/p>\n

Redirection de routeur<\/h3>\n

Cette attaque exploite une faille architecturale entre la s\u00e9curit\u00e9 de couche 2 et celle de couche 3 dans les \u00e9quipements de certains fabricants. Le pirate envoie un paquet au point d\u2019acc\u00e8s en indiquant l\u2019adresse IP de la victime comme destination au niveau de la couche r\u00e9seau (L3).\u00a0 Cependant, au niveau de la couche sans fil (L2), la destination est d\u00e9finie sur l\u2019adresse MAC du point d\u2019acc\u00e8s lui-m\u00eame, ce qui emp\u00eache le filtre d\u2019isolation de se d\u00e9clencher. Le sous-syst\u00e8me de routage (L3) renvoie alors soigneusement le paquet \u00e0 la victime, en contournant compl\u00e8tement l\u2019isolation L2. Tout comme les m\u00e9thodes pr\u00e9c\u00e9dentes, il s\u2019agit l\u00e0 d\u2019une autre attaque de type \u00ab\u00a0\u00e9mission seule\u00a0\u00bb, dans laquelle le pirate ne peut pas voir la r\u00e9ponse.<\/p>\n

D\u00e9tournement de port pour intercepter des paquets<\/h3>\n

Le pirate se connecte au r\u00e9seau en utilisant une version falsifi\u00e9e de l\u2019adresse MAC de la victime, puis inonde le r\u00e9seau de r\u00e9ponses ARP indiquant que \u00ab\u00a0cette adresse MAC se trouve sur mon port et mon r\u00e9seau SSID\u00a0\u00bb.\u00a0 Le routeur du r\u00e9seau cible met \u00e0 jour ses tables MAC et commence \u00e0 acheminer le trafic de la victime vers ce nouveau port. Par cons\u00e9quent, le trafic destin\u00e9 \u00e0 la victime aboutit chez le pirate, m\u00eame si la victime est connect\u00e9e \u00e0 un r\u00e9seau SSID totalement diff\u00e9rent.<\/p>\n

Dans le cas o\u00f9 un pirate se connecterait via un r\u00e9seau ouvert et non chiffr\u00e9, le trafic destin\u00e9 \u00e0 un client sur un r\u00e9seau s\u00e9curis\u00e9 par WPA2\/WPA3 serait en r\u00e9alit\u00e9 diffus\u00e9 \u00e0 la vue de tous, ce qui permettrait non seulement au pirate, mais aussi \u00e0 toute personne se trouvant \u00e0 proximit\u00e9, de l\u2019intercepter.<\/p>\n

D\u00e9tournement de port pour envoyer des paquets<\/h3>\n

Dans cette version, le pirate se connecte directement \u00e0 l\u2019adaptateur Wi-Fi de la victime et l\u2019inonde de requ\u00eates ARP en usurpant l\u2019adresse MAC du point d\u2019acc\u00e8s. L\u2019ordinateur de la victime se met alors \u00e0 envoyer son trafic sortant vers le pirate plut\u00f4t que vers le r\u00e9seau. En lan\u00e7ant ces deux attaques de d\u00e9tournement simultan\u00e9ment, un pirate peut, dans plusieurs cas de figure, mener une attaque de l\u2019homme du milieu (MitM).<\/p>\n

Cons\u00e9quences pratiques des attaques AirSnitch<\/h2>\n

En combinant plusieurs des techniques pr\u00e9sent\u00e9es ci-dessus, un pirate informatique peut orchestrer des actions particuli\u00e8rement dangereuses\u00a0:<\/p>\n