Le directeur de l’agence nationale de la sécurité des systèmes d’information est particulièrement inquiet par la découverte de la faille Krack ; non pas parce qu’elle existe, mais parce qu’il faudra des années avant qu’elle ne soit plus du tout un problème.

Depuis qu’a été rendue publique lundi 16 octobre l’existence de la très grave faille de sécurité figurant dans le mécanisme servant à protéger les réseaux Wi-Fi, on ne peut pas dire que c’est avec une totale sérénité que l’agence nationale de la sécurité des systèmes d’information a reçu la nouvelle. Au contraire, il y a un certain catastrophisme qui règne à la tête de l’Anssi.

guillaume-poupard

Guillaume Poupard

Alors qu’il était présent mardi 17 octobre lors du lancement à l’échelle nationale de la plateforme destinée aux personnes, aux entreprises et aux administrations victimes de cybermalveillance, Guillaume Poupard a fait part de ses craintes face à une brèche qui risque de mettre des mois et peut-être même des années à disparaître de la très grande majorité des appareils utilisant du Wi-Fi.

« C’est moche, c’est très moche », a-t-il déclaré à l’AFP.  « On est condamné à attendre que les mises à jour soient proposées par les différents éditeurs, ce qui laissera la question de tout ce qui ne sera pas mis à jour », a-t-il fait remarquer. On peut en particulier s’inquiéter de la sécurisation de la myriade d’objets connectés qui existent et qui ne disposent pas tous d’un suivi technique rigoureux.

« On va vivre pendant des années avec des Wi-Fi percés », a-t-il estimé, même si d’ores et déjà, la riposte s’organise : des géants de la high tech grand public comme Apple, Google et Microsoft ont déjà poussé, ou sont sur le point de le faire, des correctifs, tandis que les opérateurs français sont aussi sur le coup, selon nos informations, à l’exception de Free, ses machines étant déjà protégées.

On est condamné à attendre que les mises à jour soient proposées par les différents éditeurs

« Il faudra voir exactement ce que [cette faille] permet de faire, mais a priori, d’après les premiers éléments que j’ai, c’est quand même très moche », a insisté le patron de l’Anssi, dont la mission est de défendre les réseaux informatiques de l’État face aux menaces, mais aussi d’aider à la sécurisation des infrastructures des opérateurs d’importance vitale, qui sont quelques centaines en France.

Avec la vulnérabilité qui a été rendue publique le 16 octobre, un assaillant peut tenter d’interférer avec le mécanisme d’établissement de la connexion sans fil entre un point d’accès Wi-Fi et l’internaute. Il lui faut s’attaquer à la procédure qui sert à assurer la confidentialité des échanges, ce qui peut déboucher, en cas de succès, à une remise en cause de l’intégrité ou du secret des communications.

L'emblème de l'Anssi. // Source : Anssi

Tous les systèmes (Windows, iOS, Android, Linux…) fonctionnant en Wi-Fi, et plus exactement avec le mécanisme WPA2, sont concernés, sauf s’ils ont été patchés. Toutefois, il faut souligner que l’exécution d’une attaque par ce moyen-là nécessite d’être à portée du réseau Wi-Fi ciblé. En clair, il n’est pas possible de procéder à une attaque à distance.

« On se rassure en se disant que ça fait des années que, pour des réseaux sensibles, on dit ‘pas de wifi’, quitte à passer pour des casse-pieds », a fait remarquer Guillaume Poupard, en référence à l’autre moyen de connexion qui existe, à savoir la liaison filaire. « Je ne peux pas dire qu’on avait anticipé cette vulnérabilité, c’était une posture de principe, mais c’est une très, très mauvaise surprise ».


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.