Le bulletin de sécurité du mois de novembre annonce la suppression de la fameuse vulnérabilité Krack, dont l'existence a été rendue publique en octobre. Un patch est déjà disponible pour certains terminaux.

Google s’y était engagé : pour régler le cas de la grave faille repérée dans le protocole WPA2, qui sert à sécuriser une connexion sans fil en Wi-Fi, la firme de Mountain View avait promis la sortie d’un patch pour le  6 novembre. Elle a tenu parole. Profitant de son bulletin mensuel de sécurité pour le mois de novembre, l’entreprise a publié une série de correctifs pour combler cette vulnérabilité, baptisée Krack.

Présentée comme particulièrement critique, la brèche — dont le nom est l’acronyme de Key Reinstallation AttaCK — n’est pas considérée de cette façon par Google. Dans son système d’évaluation standardisé de la criticité des vulnérabilités, le groupe classe les différentes brèches liées à Krack au rang « élevé » et non pas « critique » (le plus haut). Elle reste toutefois très grave.

wifi
CC Sinchen.Lin

Cette évaluation tient sans doute au fait — c’est une hypothèse — que l’utilisation de la faille Krack n’est pas du tout aisée. En effet, il faut que l’attaquant soit à portée du réseau Wi-Fi qu’il veut pénétrer, ce qui exclut de fait les attaques à distance. En outre, il faut pouvoir être capable de l’exploiter — or, un tiers en étant capable ne va sans doute pas prendre la peine de déployer un tel effort contre un particulier.

Dans un quartier d’affaires en revanche, ça peut être une toute autre histoire.

La faille Krack se manifeste lors de la procédure dite du « 4-way handshake » (« les quatre poignées de main ») est en fait un échange servant à valider que l’association entre le client (par exemple l’ordinateur de l’internaute) et le point d’accès (sa box) s’est correctement déroulée. L’attaque par réinstallations de clés vise la troisième poignée de main, quand la clé servant à chiffrer les communications — et donc assurer leur confidentialité — peut être renvoyée plusieurs fois.

faille-fissure-brisure-eclat-vitre-fenetre
CC Matt Gibson

Disponibilité du patch

Notez que le patch de sécurité de novembre comporte d’autres correctifs. Sur un modèle de smartphone Nexus 5X, le poids de la mise à jour atteint 44,6 Mo. Ça se récupère vite en Wi-Fi ou en 4G.

Comme d’habitude, la disponibilité du patch dépend du constructeur du terminal. Si vous avez un appareil dépendant de Google, comme un Nexus ou un Pixel, le patch est a priori déjà disponible. Si vous avez un produit vendu par une autre marque, de Samsung à HTC, en passant par Motorola, Sony, LG ou encore Huawei et Xiaomi, il faudra vous tourner vers ces fabricants pour en savoir plus.

À lire sur Numerama : Apple, Microsoft, Google  : où en sont les correctifs contre la faille Wi-Fi Krack  ?

Partager sur les réseaux sociaux