Le protocole de chiffrement WPA2, qui sécurise la plupart des réseaux Wi-Fi, abrite une faille critique. Découverte par des experts en cybersécurité, elle permet à des pirates d'intercepter des données sensibles telles que mots de passe, photos, e-mails et informations de carte bancaire. Elle peut même injecter des malwares sur les sites web visités.
Cette vulnérabilité potentiellement dévastatrice touche quasiment tous les utilisateurs d'Internet. Malheureusement, des solutions immédiates sont limitées. Nous dépendons des correctifs publiés par Microsoft, Google et Apple.
Découverte par le chercheur en sécurité Mathy Vanhoef de l'Université catholique de Louvain (KU Leuven) en Belgique, cette faille porte le nom de code KRACK pour Key Reinstallation AttaCK. Elle exploite la poignée de main à quatre voies du protocole WPA2, qui vérifie les identifiants entre client et point d'accès.
Comme l'a rapporté Ars Technica, KRACK force le réemploi d'une clé de chiffrement déjà utilisée, contournant ainsi toute protection. L'attaquant intercepte le trafic, y compris les données sensibles, et peut injecter des malwares dans les sites web.
Présente dans le protocole WPA2 lui-même, cette faille affecte presque tous les appareils Wi-Fi. Android et Linux sont particulièrement vulnérables en raison de leur gestion des clés, ce qui est préoccupant vu la popularité d'Android.
Les chercheurs ont alerté les fournisseurs en juillet, puis publié un avis général en août, avec divulgation publique le 16 octobre. Le délai était toutefois insuffisant pour une correction généralisée.
Des mises à jour sont en cours : Microsoft a patché Windows 8 et versions supérieures ; Google prévoit un correctif sous peu. Mettez à jour vos routeurs et appareils dès leur disponibilité.
Tous les appareils ne seront pas corrigés, et l'installation dépend des utilisateurs. Des millions d'appareils resteront vulnérables des années durant. Il est temps pour la Wi-Fi Alliance d'accélérer WPA3...
Que pensez-vous de KRACK ? Craignez-vous son exploitation ? Les entreprises doivent-elles prioriser les correctifs ? Dites-le-nous en commentaires !
Crédit image : Tony Webster via Flickr
