Le protocole de sécurité de cryptage WPA2 qui protège votre connexion Wi-Fi a une faille. Et c'est une faille qui pourrait permettre aux pirates d'intercepter des mots de passe, des photos, des e-mails, des informations de carte de crédit et plus encore. Il pourrait également être utilisé pour injecter des logiciels malveillants sur un site Web que vous visitez par hasard.
Il s'agit d'une vulnérabilité potentiellement catastrophique qui pourrait affecter négativement presque toute personne connectée à Internet. Et malheureusement, nous ne pouvons pas faire grand-chose pour résoudre le problème. Au lieu de cela, nous comptons sur Microsoft, Google et Apple pour publier des correctifs le plus tôt possible.
La vulnérabilité WPA2, découverte par le chercheur en sécurité Mathy Vanhoef de la Katholieke Universiteit Leuven en Belgique, porte le nom de code KRACK. Cela signifie Key Reinstallation AttaCK, ainsi appelé parce que la vulnérabilité exploite la poignée de main à 4 voies utilisée par le protocole WPA2 pour garantir que le client et les points d'accès disposent des informations d'identification correctes.
Comme l'a rapporté Ars Technica, KRACK permet essentiellement à un attaquant de forcer le client à réutiliser une clé de chiffrement déjà utilisée. Tout cryptage peut alors être contourné, permettant à l'attaquant d'intercepter tout trafic, y compris les données sensibles. S'ils le souhaitaient, ils pourraient également en profiter pour injecter des logiciels malveillants dans les sites Web.
Étant donné que cette vulnérabilité se trouve dans le protocole WPA2 lui-même, pratiquement tous les appareils qui se connectent au Wi-Fi sont affectés. Cependant, en raison de la façon dont ils traitent les clés de chiffrement, Android et Linux sont encore plus vulnérables à KRACK. Ce qui est inquiétant compte tenu de la popularité d'Android.
Après avoir découvert cette faille dans WPA2, les chercheurs en sécurité ont envoyé des avis à des fournisseurs spécifiques en juillet. Et puis en août, une large notification a été publiée avec un avertissement que la vulnérabilité serait divulguée publiquement aujourd'hui (16 octobre). Malheureusement, cela ne semble pas avoir été assez long pour que la plupart des fournisseurs résolvent le problème.
Des correctifs de sécurité pour la faille WPA2 sont déjà en cours de déploiement. Microsoft a déjà publié une mise à jour pour Windows (8 et supérieur) et Google publiera un correctif dans les semaines à venir. Ainsi, tout ce que vous pouvez faire est de mettre à jour vos routeurs sans fil et autres appareils dès que les fournisseurs publient ces mises à jour.
Malheureusement, tous les appareils vulnérables ne seront pas corrigés, et même si un correctif devient disponible, il incombe aux individus d'installer les mises à jour. Et cela signifie qu'il y aura des millions d'appareils vulnérables à KRACK pour les années à venir. Il est peut-être temps pour la Wi-Fi Alliance de développer le WPA3...
Que pensez-vous de KRACK ? Et craignez-vous qu'il soit exploité à l'état sauvage ? Est-ce que chaque entreprise dont les produits sont concernés par cette version doit en priorité un patch ? Ou pensez-vous que la menace est exagérée ? Veuillez nous en informer dans les commentaires ci-dessous !
Crédit image :Tony Webster via Flickr
