{"id":2409,"date":"2026-02-27T09:25:01","date_gmt":"2026-02-27T08:25:01","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/airsnitch-lisolation-client-wifi-ne-vous-protege-pas\/"},"modified":"2026-02-27T09:25:01","modified_gmt":"2026-02-27T08:25:01","slug":"airsnitch-lisolation-client-wifi-ne-vous-protege-pas","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/airsnitch-lisolation-client-wifi-ne-vous-protege-pas\/","title":{"rendered":"AirSnitch – L’isolation client WiFi ne vous prot\u00e8ge pas"},"content":{"rendered":"

Bon, vous connaissez la th\u00e9orie du travailleur nomade… vous vous posez dans un caf\u00e9 avec votre laptop, vous chopez du WiFi gratuit, et vous vous dites que l’isolation client du routeur<\/strong> vous prot\u00e8gera des autres branquignols connect\u00e9s au m\u00eame r\u00e9seau.<\/p>\n

H\u00e9 ben non ! Car des chercheurs viennent de d\u00e9montrer que cette protection, c’\u00e9tait du vent… Oui oui, tous les routeurs qu’ils ont test\u00e9s se sont fait contourner en 2 secondes.<\/p>\n

Mais avant, pour ceux qui se demandent ce que c’est, l’isolation client c’est une option que les admins r\u00e9seau activent sur les bornes WiFi pour emp\u00eacher les appareils connect\u00e9s de communiquer entre eux. En gros, votre laptop ne peut pas voir celui du voisin. Enfin… \u00e7a c’est en th\u00e9orie.<\/p>\n

Parce qu’en fait, le truc c’est que cette fonctionnalit\u00e9 n’est m\u00eame pas d\u00e9finie dans le standard WiFi (IEEE 802.11) ce qui oblige chaque fabricant \u00e0 faire sa propre tambouille dans son coin, et du coup \u00e7a fuit de partout.<\/p>\n

L’\u00e9quipe derri\u00e8re cette trouvaille, c’est des chercheurs de l’UC Riverside et de KU Leuven, dont Mathy Vanhoef, le m\u00eame gars qui avait d\u00e9j\u00e0 mis le WPA2 \u00e0 genoux avec
\nKRACK<\/a>
\nen 2017. Pas un amateur, quoi. Et leur outil, baptis\u00e9 AirSnitch<\/strong>, vient d’\u00eatre pr\u00e9sent\u00e9 \u00e0 la conf\u00e9rence
\nNDSS 2026<\/a>
\n.<\/p>\n

Ils ont ainsi trouv\u00e9 3 m\u00e9thodes diff\u00e9rentes pour contourner la protection d’isolation. La premi\u00e8re abuse de la cl\u00e9 de groupe<\/strong> (GTK), normalement r\u00e9serv\u00e9e au broadcast, pour envoyer du trafic directement \u00e0 un appareil cibl\u00e9. Le pire, c’est que macOS, iOS et Android acceptent ce trafic sans broncher (merci les gars !).<\/p>\n

La seconde fait rebondir les paquets via la passerelle<\/strong>, et la troisi\u00e8me vole carr\u00e9ment l’adresse MAC<\/strong> de la victime sur un autre point d’acc\u00e8s pour intercepter son trafic.<\/p>\n

Brrrrrr…. 11 routeurs test\u00e9s, du Netgear R8000 au Cisco Catalyst 9130 en passant par TP-Link, ASUS, Ubiquiti et m\u00eame OpenWrt 24.10. Et ils sont TOUS vuln\u00e9rables, sans exception ! Et que vous soyez en
\nWPA2<\/a>
\nou en WPA3, r\u00e9seau perso ou entreprise, c’est pareil. Donc autant vous dire que \u00e7a pue !<\/p>\n

$\"\"$ <\/p>\n

Ils ont m\u00eame r\u00e9ussi \u00e0 effectuer un Man-in-the-Middle complet (interception de tout le trafic entre vous et Internet) en 2 secondes chrono. La “victime” qui regardait YouTube n’a m\u00eame pas remarqu\u00e9 de lag et c’est comme \u00e7a qu’ils ont pu intercepter tout son trafic, ni vu ni connu.<\/p>\n

Alors du coup, on fait quoi ? H\u00e9 bien si vous g\u00e9rez un r\u00e9seau, oubliez l’isolation client toute seule et passez aux VLANs avec un VLAN par client. Oui c’est lourdingue \u00e0 mettre en place, mais c’est le prix \u00e0 payer pour avoir une s\u00e9curit\u00e9 solide. Certains constructeurs bossent aussi sur des cl\u00e9s de groupe individuelles par client, ce qui r\u00e8glerait le probl\u00e8me \u00e0 la source.<\/p>\n

C\u00f4t\u00e9 utilisateur, la solution est plus simple…
\n VPN !!<\/a>
\nAttention, \u00e7a ne marche que si le VPN est activ\u00e9 AVANT de vous connecter au r\u00e9seau, pas apr\u00e8s. HTTPS vous prot\u00e8ge d\u00e9j\u00e0 pour le contenu des sites, mais selon Google, 6 \u00e0 20% des pages ne sont toujours pas en HTTPS… et m\u00eame quand elles le sont, l’attaquant voit quand m\u00eame o\u00f9 vous surfez et peut tenter du DNS spoofing. Donc sur n’importe quel
\n r\u00e9seau WiFi public<\/a>
\n, partez du principe que quelqu’un peut voir votre trafic, parce que visiblement c’est le cas.<\/p>\n

Le code source d’
\n AirSnitch<\/a>
\nest dispo sur GitHub si vous voulez tester votre propre config mais notez que \u00e7a n\u00e9cessitera
\n une carte WiFi compatible avec le mode monitor comme les Alfa<\/a>
\n(lien affili\u00e9<\/em>), donc pas celle de votre laptop de base.<\/p>\n

Bref, la prochaine fois que le WiFi de l’h\u00f4tel vous demande d’accepter les CGU en \u00e9change d’un acc\u00e8s “s\u00e9curis\u00e9”… ben gardez votre VPN allum\u00e9, hein.<\/p>\n

\nSource<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"