Le Wi‑Fi est devenu indispensable dans les foyers, les bureaux et les entreprises. Plus de 48 milliards d’appareils compatibles ont été vendus depuis la fin des années 1990, et près de 70 % de la population mondiale l’utilise chaque jour. Cette omniprésence s’accompagne d’un flux massif de données sensibles, pourtant exposées à des failles structurelles héritées d’Ethernet et à la nature même des communications radio.
Pendant longtemps, les réseaux publics ont fonctionné comme un terrain sans loi, où les attaques ARP spoofing permettaient d’espionner facilement les utilisateurs. Pour y répondre, les constructeurs ont intégré des protections cryptographiques censées empêcher toute lecture ou modification du trafic entre clients. Mais de nouvelles recherches montrent que ces protections ne suffisent plus.
AirSnitch : une attaque qui contourne l’isolation des clients
Les chercheurs ont découvert une série d’attaques baptisées AirSnitch. Elles exploitent des comportements présents dans les couches les plus basses de la pile réseau, rendant le chiffrement incapable d’assurer l’isolation des clients, pourtant garantie par tous les routeurs modernes. Ces attaques touchent un large éventail de routeurs, notamment ceux de Netgear, D‑Link, Ubiquiti, Cisco, ainsi que les systèmes DD‑WRT et OpenWrt.
Selon Xin’an Zhou, auteur principal de l’étude, AirSnitch pourrait permettre des attaques avancées comme le vol de cookies, l’empoisonnement DNS ou la manipulation de caches. Présentée au NDSS Symposium 2026, cette découverte remet en question la sécurité des réseaux Wi‑Fi à l’échelle mondiale.
Mathy Vanhoef, co‑auteur, précise qu’il s’agit d’un contournement du chiffrement plutôt que d’une rupture cryptographique. L’attaque ne casse pas WPA2 ou WPA3, mais contourne l’isolation censée protéger les clients. Les utilisateurs qui ne dépendent pas de cette isolation restent donc moins exposés.
Une désynchronisation d’identité entre les couches réseau
AirSnitch repose sur une désynchronisation d’identité entre les couches 1 et 2, les SSID et les nœuds connectés. Cette faille permet à un attaquant de mener une attaque machine‑in‑the‑middle bidirectionnelle, capable d’intercepter et de modifier les données avant qu’elles n’atteignent leur destinataire. L’attaquant peut se trouver sur le même SSID, sur un réseau invité ou même sur un segment différent relié au même point d’accès.
En interceptant le trafic au niveau du lien, l’attaquant peut ensuite mener des attaques plus poussées. Lorsque la connexion n’est pas chiffrée, il peut lire et altérer tout le trafic, récupérer des cookies d’authentification, des mots de passe ou des données bancaires. Même avec HTTPS, il peut manipuler les requêtes DNS, empoisonner les caches ou exploiter des vulnérabilités non corrigées.
Pourquoi les protections d’entreprise ne suffisent pas
Les variantes d’AirSnitch contournent également l’isolation des clients dans les environnements professionnels. Les routeurs d’entreprise utilisent pourtant des identifiants uniques et des clés de chiffrement propres à chaque client. Mais lorsque plusieurs points d’accès partagent la même infrastructure câblée, l’attaque reste possible.
Les chercheurs ont montré qu’AirSnitch peut même compromettre RADIUS, un protocole d’authentification centralisé utilisé dans les réseaux d’entreprise. En usurpant l’adresse MAC d’une passerelle et en se connectant à un point d’accès, un attaquant peut voler des paquets RADIUS, casser l’authentificateur de message et récupérer une phrase secrète partagée. Il peut ensuite déployer un serveur RADIUS frauduleux et un point d’accès malveillant, capable d’intercepter le trafic et les identifiants des utilisateurs légitimes.
Les tests ont été réalisés sur onze routeurs, dont Netgear, Tenda, D‑Link, TP‑Link, ASUS, Ubiquiti, LANCOM et Cisco. Tous se sont révélés vulnérables à au moins une variante de l’attaque. Certains fabricants ont déjà publié des correctifs, mais d’autres affirment que certaines failles ne pourront être corrigées qu’en modifiant les puces elles‑mêmes.
Une menace sérieuse, mais pas aussi simple que WEP
Pour évaluer la gravité d’AirSnitch, il faut la replacer dans son contexte. L’attaque rappelle la méthode PTW de 2007, qui avait brisé WEP du jour au lendemain. Aujourd’hui, l’isolation des clients est presque entièrement contournée, sans solution immédiate.
Cependant, AirSnitch exige que l’attaquant dispose déjà d’un accès au réseau Wi‑Fi. Cette contrainte la rend moins accessible que les attaques WEP, qui pouvaient être lancées par n’importe qui à portée du signal. Un réseau protégé par un mot de passe fort limite donc considérablement les risques.
La nuance est que l’attaquant n’a pas besoin d’accéder au SSID de la victime. Il peut exploiter AirSnitch depuis un autre SSID ou BSSID utilisant la même infrastructure.
Des attaques plus larges, mais moins destructrices
Contrairement aux attaques qui ont brisé WPA, WPA2 ou WPA3, AirSnitch ne se limite pas aux signaux radio. Elle exploite aussi les interactions entre les couches réseau et les équipements câblés. Les pare‑feux ne constituent pas une barrière fiable, car ils restent connectés physiquement à des éléments réseau vulnérables.
Certaines protections existent, comme les VPN, mais elles restent imparfaites. Les VPN peuvent fuir des métadonnées ou des requêtes DNS, et leur fiabilité dépend fortement du fournisseur. Les VLANs peuvent aussi aider, mais ils sont difficiles à configurer correctement et peuvent introduire des vulnérabilités de rebond.
La stratégie la plus solide reste l’adoption d’un modèle zero trust, qui considère chaque nœud comme potentiellement hostile tant qu’il n’a pas prouvé sa légitimité. Ce modèle reste complexe à déployer, surtout pour les particuliers et les petites structures.
Comment réagir face à AirSnitch
La réponse la plus raisonnable consiste à faire preuve de prudence sur les réseaux Wi‑Fi que tu ne contrôles pas. Lorsque c’est possible, utilise un VPN fiable ou privilégie le partage de connexion depuis un smartphone. Les attaques AirSnitch élargissent les possibilités malveillantes, mais dans la pratique, des attaques plus simples comme les faux points d’accès restent souvent plus attractives pour les cybercriminels.
Comme le souligne HD Moore, les attaques avant l’isolation des clients se résumaient souvent à lancer ettercap dès qu’une connexion Wi‑Fi était établie. AirSnitch demande plus de travail, du moins jusqu’à ce qu’un script automatisé voie le jour. Reste à savoir si les fabricants prendront ces failles suffisamment au sérieux pour les corriger durablement.