Faille de sécurité Wifi Krack

Krack en quelques mots

Krack, une faille de sécurité liée à l’utilisation du protocole WPA2 en WiFi a été récemment découverte par des chercheurs. Des attaquants peuvent désormais lire le trafic Wi-Fi entre des périphériques (smartphones, ordinateur…) et des points d’accès sans fil (Box opérateurs), et même le modifier pour injecter des logiciels malveillants sur des sites Web. Il semble que les appareils Android et Linux soient les plus touchés par ces multiples vulnérabilités.

Selon les chercheurs à l’origine de la découverte, cette brèche affaiblit considérablement la confidentialité et l’intégrité des communications transitant par le WiFi. Elle ouvre la porte au vol de données sensibles à l’injection de programmes malveillants. Mais il n’est pas nécessaire de céder à la panique pour autant.

Les sites et applications chiffrés sont épargnés

Il est impossible de déterminer pour l’heure si des pirates ont utilisé la faille pour infiltrer des réseaux. Loin d’être évidente, son exploitation requiert plusieurs conditions. Le réseau WiFi doit être actif et l’attaquant à portée du réseau ciblé. Cette proximité physique restreint considérablement le spectre des attaques qui ne peuvent pas être déclenchées à distance. La menace concerne donc surtout les réseaux WiFi que l’on trouve dans les aéroports, les gares, les cafés, les bibliothèques et tous les lieux publics.

Quoi faire pour se protéger ?

Microsoft depuis la découverte de la faille critique dans le protocole WPA2 du Wi-Fi, baptisée Krack à déjà livré (en toute discrétion) des correctifs pour ses OS. Ils étaient intégrés dans le dernier bulletin de sécurité mensuel d’octobre. En se penchant sur le Security Update Guide, on apprend que toutes les versions actuellement supportées de Windows ont été corrigées. A savoir Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 et Windows Server 2016. Il suffit donc de mettre à jour via Windows Update votre ordinateur.

De son côté, Apple a indiqué qu’un premier patch est déjà déployé dans les dernières versions beta d’iOS 11.1, macOS 10.13.1, tvOS 11.1 et watchOS 4.1 et qu’il serait diffusé auprès du grand public dans les prochaines semaines.

Pour Google et les smartphones Android, c’est plus délicat en raison de la diversité du parc informatique. Un dirigeant du groupe a indiqué qu’un patch de sécurité sera déployé le 6 novembre pour les appareils bénéficiant toujours du suivi de leur constructeur. Reste à connaître le délais chez les différents fabricants pour adapter ce correctif à leurs produits. Les appareils les plus anciens courent le risque de ne pas être protégés contre la faille avant un moment.

En résumé 

Il faut attendre que tous les appareils aient reçu leur correctif. Il est recommandé d’éviter d’utiliser le wifi pour surfer sur des sites non protégés (Wifi public). Privilégiez la 4G ou l’utilisation de câbles ethernet RJ45. Pour les boxes, ordinateurs et consoles, veillez à utiliser des sites protégés par des protocoles de chiffrement. Il est aussi recommandé d’utiliser un VPN. Un réseau privé virtuel qui protège le trafic par une couche de chiffrement. Et quoi qu’il en soit, changer ses mots de passe est inutile.