Depuis la découverte de la vulnérabilité Krack, c'est la mobilisation générale pour fournir un correctif. Heureusement, l'alerte ayant été donnée discrètement cet été, plusieurs constructeurs et éditeurs ont pris des mesures assez tôt pour être en mesure d'agir très rapidement, voire avant la divulgation publique de la brèche

Révélée à la face du monde lundi 16 octobre, la faille critique qui affecte le protocole WPA2  fait d’ores et déjà l’objet de plusieurs correctifs, afin que la confidentialité des échanges survenant sur un réseau Wi-Fi ne soit plus compromise. En effet, la brèche en question, baptisée Krack, est susceptible d’intercepter les communications entre un point d’accès Wi-Fi et un usager.

Concernant Microsoft, un porte-parole du géant des logiciels a par exemple confirmé à Forbes qu’un correctif est déjà disponible — depuis le 10 octobre — pour sa clientèle Windows. « Nous avons publié une mise à jour de sécurité pour régler ce problème. Les clients qui appliquent la mise à jour ou qui ont des mises à jour automatiques activées seront protégés », a-t-il fait savoir.

Microsoft Surface

Les détails sont donnés sur le site de Microsoft. On apprend que « la mise à jour de sécurité corrige la vulnérabilité en modifiant la façon dont Windows vérifie [le mécanisme] ». L’entreprise rappelle au passage que l’exploitation de cette brèche est loin d’être évidente, plusieurs conditions étant indispensables pour qu’elle fonctionne (le réseau Wi-Fi doit être actif et l’attaquant se trouver à proximité).

Du côté d’Apple, le blogueur canadien Rene Ritchie‏ a obtenu confirmation de la firme de Cupertino que la faille a déjà été résolue dans les systèmes d’exploitation du géant de l’électronique grand public, à savoir les versions bêtas pour iOS, tvOS, watchOS et macOS. Il a ajouté que les produits de la gamme AirPort (en particulier Express, Extreme et Time Capsule) ne paraissent pas affectés, même en mode pont.

CC Andrew

Pour Google, un responsable aux Pays-Bas du géant du net a fait savoir que « les appareils Android disposant d’un patch de sécurité du 6 novembre ou au-delà sont protégés contre ces vulnérabilités ». Il s’avère toutefois que le dernier patch en la matière qui est disponible aux utilisateurs date du 5 octobre, le mois de novembre n’étant évidemment pas encore commencé.

C’est ce qu’a confirmé un porte-parole de Google à Forbes : « nous sommes au courant du problème, et nous allons corriger tous les appareils touchés dans les semaines à venir ». On peut regretter que Google, en comparaison de Microsoft et Apple, soit aussi lent à agir, alors que l’homme qui a  découvert l’attaque, Mathy Vanhoef, un chercheur à l’université catholique de Louvain, en Belgique, a souligné la gravité du problème pour Android.

« Pour un attaquant, c’est facile à réaliser, car notre principale attaque de réinstallation est exceptionnellement dévastatrice contre […] Android 6.0 ou supérieur », écrit-il. Or, selon le tableau de fragmentation d’Android, un téléphone sur deux est équipé d’Android 6.0 ou plus. Et en disant cela, cela ne veut absolument pas dire que les versions inférieures sont protégées : elles sont aussi vulnérables.

C’est d’autant plus préoccupant que Mathy Vanhoef a expliqué avoir commencé à tirer la sonnette d’alarme dès le 14 juillet, d’abord en signalant aux fabricants dont les matériels ont été testés avec cette vulnérabilité, puis, au regard de l’étendue du problème, de faire appel au centre américain de veille, d’alerte et de réponse aux attaques informatiques pour envoyer une notification générale le 28 août.

Freebox
CC Jérôme Choain

Concernant les opérateurs qui proposent une box à leurs clients, il apparaît que les Freebox ne sont pas affectées, selon Marc Brice, un employé de Free. C’est ce qui est indiqué dans le suivi des bugs dédié à la box : « la Freebox Crystal et la Freebox Révolution / Mini 4K n’activent pas le mode FT (802.11r). Quant à nos clients (Crystal, Mini 4K), elles utilisent un VPN par dessus le Wi-Fi, donc pas grand chose à déchiffrer ».

Au sujet d’Orange, nous avons obtenu confirmation auprès de l’opérateur « qu’aucune de ses box n’est concernée » par la vulnérabilité détectée dans le WPA2. Préalablement, le fournisseur d’accès à Internet avait mobilisé ses équipes « pour investiguer » sur les éventuelles conséquences de la faille sur son matériel.

 

Pour les autres fournisseurs d’accès à Internet, aucune information n’est pour le moment disponible. Le site Le Monde dit avoir cherché à contacter les fabricants des box Internet pour savoir si une mise à jour logicielle était au programme, sans toutefois parvenir à avoir une réponse de leur part. La sécurisation des box est toutefois absolument capitale, étant donné le taux d’équipement des foyers avec ce type de matériel.

Cisco routeur

Du côté des fabricants de routeurs Wi-Fi, des patchs sont d’ores et déjà déployés et prêts à être installés sur les appareils. Plusieurs géants de l’industrie de l’équipement réseau sont aussi sur le coup, notent nos confrères du quotidien du soir, en particulier Cisco, Juniper et Intel. Les patchs, s’ils ne sont pas forcément tous immédiatement prêts à l’emploi, sont au moins sur la rampe de lancement.

De façon générale, il convient de se tourner vers le constructeur du matériel dont vous voulez prendre des nouvelles pour savoir si un patch est prévu et, le cas échéant, quand il sera disponible — s’il ne l’est pas déjà. Et pas d’inquiétude quant à la compatibilité des matériels patchés avec ceux qui ne le sont pas (encore) ; la communication ne sera pas empêchée.

«  Les utilisateurs peuvent s’attendre à ce que tous leurs appareils Wi-Fi, qu’ils soient patchés ou non, continuent à bien fonctionner ensemble », souligne ainsi la Wi-Fi Alliance, qui regroupe les industriels construisant les systèmes sans fil. Dès lors, il n’y a aucune raison de différer l’application du patch ; c’est ce que fait comprendre le centre de veille, d’alerte et de réponse aux attaques informatiques, qui dépend du gouvernement

« Plusieurs éditeurs ont diffusé des correctifs pour ces vulnérabilités. Le CERT-FR recommande l’application de ceux-ci au plus vite ».

Se protéger malgré tout

Si par malchance votre produit Wi-Fi n’a pas encore de correctif, ou s’il n’est pas prévu d’en déployer un, il existe plusieurs mesures que vous pouvez suivre pour vous protéger un tant soit peu : vous pouvez désactiver le Wi-Fi et opter à la place pour une connexion par câble ou par une autre méthode de communication sans fil, comme le Bluetooth. Vous pouvez aussi désactiver certains fonctionnalités du Wi-Fi.

Par ailleurs, pour protéger la confidentialité des communications, il est recommandé de passer par le mode de navigation HTTPS lorsque celui-ci est disponible sur le site sur lequel vous vous rendez (ce mode chiffre les échanges entre votre navigateur et le site visité). Plus radical encore, vous pouvez passer par un réseau privé virtuel (VPN), qui a l’avantage de passer tout le trafic réseau dans un tunnel chiffré.

À lire sur Numerama : Krack  : 5 questions sur la faille critique qui menace la sécurité du Wi-Fi

Partager sur les réseaux sociaux