Google s’y était engagé : pour régler le cas de la grave faille repérée dans le protocole WPA2, qui sert à sécuriser une connexion sans fil en Wi-Fi, la firme de Mountain View avait promis la sortie d’un patch pour le 6 novembre. Elle a tenu parole. Profitant de son bulletin mensuel de sécurité pour le mois de novembre, l’entreprise a publié une série de correctifs pour combler cette vulnérabilité, baptisée Krack.
Présentée comme particulièrement critique, la brèche — dont le nom est l’acronyme de Key Reinstallation AttaCK — n’est pas considérée de cette façon par Google. Dans son système d’évaluation standardisé de la criticité des vulnérabilités, le groupe classe les différentes brèches liées à Krack au rang « élevé » et non pas « critique » (le plus haut). Elle reste toutefois très grave.
CC Sinchen.Lin
Cette évaluation tient sans doute au fait — c’est une hypothèse — que l’utilisation de la faille Krack n’est pas du tout aisée. En effet, il faut que l’attaquant soit à portée du réseau Wi-Fi qu’il veut pénétrer, ce qui exclut de fait les attaques à distance. En outre, il faut pouvoir être capable de l’exploiter — or, un tiers en étant capable ne va sans doute pas prendre la peine de déployer un tel effort contre un particulier.
Dans un quartier d’affaires en revanche, ça peut être une toute autre histoire.
La faille Krack se manifeste lors de la procédure dite du « 4-way handshake » (« les quatre poignées de main ») est en fait un échange servant à valider que l’association entre le client (par exemple l’ordinateur de l’internaute) et le point d’accès (sa box) s’est correctement déroulée. L’attaque par réinstallations de clés vise la troisième poignée de main, quand la clé servant à chiffrer les communications — et donc assurer leur confidentialité — peut être renvoyée plusieurs fois.
CC Matt Gibson
Disponibilité du patch
Notez que le patch de sécurité de novembre comporte d’autres correctifs. Sur un modèle de smartphone Nexus 5X, le poids de la mise à jour atteint 44,6 Mo. Ça se récupère vite en Wi-Fi ou en 4G.
Comme d’habitude, la disponibilité du patch dépend du constructeur du terminal. Si vous avez un appareil dépendant de Google, comme un Nexus ou un Pixel, le patch est a priori déjà disponible. Si vous avez un produit vendu par une autre marque, de Samsung à HTC, en passant par Motorola, Sony, LG ou encore Huawei et Xiaomi, il faudra vous tourner vers ces fabricants pour en savoir plus.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
