Une faille de sécurité dans un protocole du wifi affecte des centaines de millions d’appareils. PC, smartphones, routeurs…Des centaines de millions d'appareils sont concernés ; seul recours : activer les mises à jour automatiques...

Des chercheurs ont  en effet découvert une vulnérabilité, baptisée Krack, dans le protocole servant à protéger les échanges wifi ; elle pourrait permettre à des pirates d’y accéder, selon ce qu’indiquait hier l’équipe d’intervention d’urgence informatique des États-Unis (US-Cert).

Le Cert avait toutefois gardé le silence sur cette faille pendant plusieurs semaines  afin de se donner le temps d’y  remédier et de sécuriser les réseaux selon  le site Ars Technica qui a révélé le premier cette faille et les mesures prises par le Cert.

Changer son mot de passe ne sert à rien mais Microsoft a cependant indiqué l’avoir corrigée sur les  versions récentes de Windows.

 Apple a patché les versions bêta de ses logiciels

et Google s’active afin de sécuriser les smartphones sous Android, qui semblent être les plus affectés.

 Concrètement, selon Ars Technica, « un dispositif de chiffrement qui devrait être à usage unique peut en réalité être réutilisé plusieurs fois au cours de la procédure d’identification, ce qui « affaiblit complètement le chiffrement »

Le Cert, qui relève du département de la sécurité intérieure américain (Homeland Security), a indiqué que la faille avait été initialement découverte par des chercheurs de l’université de Louvain en Belgique.

Ceux-ci ont indiqué dans un blog que la faille pouvait être utilisée « pour avoir accès à des informations que l’on pouvait penser chiffrées en toute sécurité ».

« Cela peut être utilisé pour dérober des informations sensibles comme des numéros de cartes de crédit, des mots de passe, des messages sur des sites ou par courriel, des photos…»,  ont souligné les chercheurs belges, en indiquant que « tous les réseaux wifi modernes protégés » sont concernés.

« Selon la configuration du réseau, il est aussi possible d’injecter et de manipuler des données » par le biais de logiciels malveillants en utilisant cette faille.

Les chercheurs de l’université de Louvain ont appelé cette faille  « KRACK » (Key Reinstallation AttaCK) car elle permet aux pirates d’insérer une nouvelle clé dans les connexions wifi privées.

Selon Rob Graham de Errata Security «Tout le monde a raison d’avoir peur. En pratique, cela veut dire que les pirates peuvent lire une bonne partie du trafic sur les réseaux wifi avec plus ou moins de difficulté selon la configuration du réseau ».

Microsoft a sécurisé la faille dans les mises à jour Windows (10, 8 et 7) du 10 octobre.

Il faut donc de s’assurer dans les paramètres que les updates automatiques sont bien activées.

Apple a indiqué au site iMore que les versions bêta d’iOS et de Mac OS étaient protégées et que les versions pour le grand public le seraient prochainement.

Chez Google, la réaction semble  prendre plus de temps : ainsi, tandis que 41 % des appareils Android sont touchés, le Pixel  ne bénéficiera  d’une mise à jour que le 6 novembre ;  les autres smartphones suivront, selon un calendrier qui reste pour l’instant inconnu.

Voir notamment :

10/02/2013 - Le Wi-Fi en entreprise. Sécuriser ses données