Rappel : la clé de votre réseau Wi-Fi est stockée en NVRAM

MacBidouille en a parlé récemment, je l’avais déduit implicitement il y a quelques années : certaines informations liées aux réseaux Wi-Fi sont stockées dans la NVRAM.
1280px-Wi-Fi_Logo.svg

Si Apple ne l’indique pas explicitement, c’est pourtant le cas. La NVRAM est une mémoire présente dans l’ordinateur qui n’est pas liée au périphérique de stockage. Elle contient les informations sur le démarrage, les paramètres liés au volume sonore, l’heure, etc. Et donc, depuis quelques années, Apple stocke aussi quelques informations sur les réseaux Wi-Fi. L’idée est de simplifier la connexion quand vous passez sur la partition de restauration, notamment : pas besoin de rentrer les paramètres, ils sont en mémoire.

Le problème… c’est qu’ils sont en mémoire. En théorie, il est possible de les récupérer. Alors, en pratique, OS X semble les effacer à la réinstallation : il me demande bien mon mot de passe quand je réinstaller OS X (El Capitan). Ceci dit, je pense qu’il est préférable d’effacer la NVRAM si vous vendez un Mac, par exemple : il faut éteindre l’ordinateur, l’allumer et presser alt (Option), cmd (), p et r en même temps avant l’arrivée de l’écran gris. Il faut ensuite garder les touches enfoncées et attendre que le système redémarre.

Au passage, il est possible de lire les données depuis OS X, mais ça ne sert pas tellement.

sudo nvram 36C28AB5-6566-4C50-9EBD-CBB920F83843:current-network

Le début du résultat contient le nom du réseau (en clair), les 32 derniers octets contiennent la clé PSK. Si j’ai bien compris (les puristes me corrigeront), la clé PSK binaire est dérivée du SSID et du mot de passe, avec un fonction appliquée 4096 fois. En gros, obtenir le mot de passe d’origine à partir de la clé (même en connaissant le SSID, ce qui est le cas) n’est pas quelque chose de trivial dans l’absolu. Bien évidemment, cette clé permet de se connecter à votre réseau, donc il vaut mieux qu’elle ne se retrouve pas n’importe où…

Maintenant, en étant pragmatique, l’angle d’attaque me semble hypothétique : une personne qui aurait accès à votre ordinateur pourrait éventuellement se connecter à votre réseau (donc en étant chez vous) en démarrant depuis un disque dur externe pour récupérer la clé en NVRAM, mais avec un accès physique à votre ordinateur, il y a des moyens plus efficaces. Les chances qu’un voleur veuille pirater votre réseau Wi-Fi sont à mon avis assez faibles (en supposant qu’il sache où vous habitez et que les données de votre réseau l’intéressent). Donc en gros, ne paniquez pas, et effacez simplement la NVRAM à la revente.