Krack, la grosse faille de sécurité qui touche le Wifi

Des centaines de millions d'appareils sont concernés, et la seule chose à faire est d'activer les mises à jour automatiques...
PC, smartphones, routeurs… Une faille de sécurité dans un protocole du wifi affecte des centaines de millions d’appareils. Changer son mot de passe ne sert à rien mais Microsoft a cependant indiqué l’avoir corrigée sur les versions récentes de Windows. Apple a patché les versions bêta de ses logiciels et Google s’active pour sécuriser les smartphones sous Android, qui semblent les plus affectés.
Des chercheurs ont découvert une vulnérabilité, baptisée Krack, dans le protocole WPA2 qui sert à protéger les échanges wifi et qui pourrait permettre à des pirates d’y accéder, a rapporté lundi l’équipe d’intervention en cas d’urgence informatique des États-Unis (US-Cert). Le Cert a toutefois gardé le secret sur cette faille pendant plusieurs semaines le temps d' remédier et sécuriser les réseaux, écrit le site Ars Technica qui a révélé initialement cette faille et les mesures prises par le Cert.
Les informations sensibles mal protégées
Concrètement, un dispositif de chiffrement qui devrait être à usage unique peut en réalité être réutilisé plusieurs fois au cours de la procédure d’identification, ce qui « affaiblit complètement le chiffrement », écrit Ars Technica.
Le Cert, qui fait partie du département de la sécurité intérieure américain (Homeland Security), a indiqué que la faille avait été initialement découverte par des chercheurs de l’université de Louvain en Belgique. Ceux-ci ont indiqué dans un blog que la faille pouvait être utilisée « pour avoir accès à des informations que l’on pouvait penser chiffrées en toute sécurité ». « Cela peut-être utilisé pour dérober des informations sensibles comme des numéros de cartes de crédit, des mots de passe, des messages sur des sites ou par courriel, des photos etc », ajoutent les chercheurs belges, en indiquant que « tous les réseaux wifi modernes protégés » sont concernés. « Selon la configuration du réseau, il est aussi possible d’injecter et de manipuler des données » par le biais de logiciels malveillants en utilisant cette faille.
Des correctifs en cours de déploiement
Les chercheurs de l’université de Louvain l’ont appelée « KRACK » (Key Reinstallation AttaCK) car elle permet aux pirates d’insérer une nouvelle clé dans les connexions wifi privées. « Tout le monde a raison d’avoir peur », a affirmé Rob Graham de Errata Security dans un blog. « En pratique, cela veut dire que les pirates peuvent lire une bonne partie du trafic sur les réseaux wifi avec plus ou moins de difficulté selon la configuration du réseau », ajoute-t-il.
Microsoft a sécurisé la faille dans les mises à jour Windows (10, 8 et 7) du 10 octobre. Il suffit donc de s’assurer dans les paramètres que les updates automatiques sont bien activées. Apple a indiqué au site iMore que les versions bêta d’iOS et de Mac OS étaient protégées et que les versions pour le grand public le seraient prochainement. Du côté de Google, cela semble prendre plus de temps. Alors que 41 % des appareils Android sont touchés, le Pixel aura droit à une mise à jour le 6 novembre, et les autres smartphones suivront, selon un calendrier pour l’instant inconnu.