Une faille dans le protocole WPA2 a été découverte. Il s’agit du niveau de sécurisation le plus élevé du Wi-Fi, autrement dit tous les réseaux sont compromis.

Mise à jour du 18 octobre à 10 h 30 : ajout des retours de Bouygues Telecom et d’Orange


C’est quoi KRACK ?

Mathy Vanhoef, chercheur à l’université KU Leuven, a découvert une faille permettant d’intercepter des données transmises sur un réseau Wi-Fi, même lorsqu’il est protégé par le protocole WPA2. Pire, il est également possible d’injecter des données, et donc des malwares, en utilisant la technique découverte. Les réseaux domestiques aussi bien que les réseaux d’entreprises sont concernés, c’est donc une découverte majeure dans le domaine de la sécurité informatique.

La technique décrite par Mathy Vanhoef est appelée Key Reinstallation AttaCK, ce qui donne KRACK. Les personnes intéressées par les détails techniques, et pointus, concernant cette découverte peuvent se rendre sur le site du chercheur dédié à ce sujet.

Comment se protéger de cette faille ?

Il n’y a pas de meilleur protocole que le WPA2. Il ne faut surtout pas revenir au protocole WEP. Changer de mot de passe ne sert à rien non plus. Le seul moyen de se protéger de cette faille est de mettre à jour les appareils concernés. Les acteurs du marché, fabricants ou éditeurs, ont été notifiés de cette faille le 14 juillet 2017. Certains l’ont comblée par avance.

Il faut combler la faille à la fois sur les points d’accès et sur les clients, c’est-à-dire que patcher vos ordinateurs et smartphones ne vous dispense pas de mettre à jour votre routeur Wi-Fi.

Appareils Wi-Fi

Quels sont les appareils concernés ?

La majorité des appareils compatibles Wi-Fi sont concernés par cette faille.

Google et Android

Pour être protégé de KRACK, il est nécessaire d’avoir le patch de sécurité du 6 novembre 2017 ou ultérieur. Bien sûr pour y avoir accès, il faudra attendre sa sortie en novembre, et posséder un appareil suivi par un fabricant sérieux et soucieux de ses utilisateurs.

Les utilisateurs de LineageOS devront mettre à jour leur build vers une version officielle compilée après le tweet publié le 17 octobre pour être en sécurité.

Apple : iOS, WatchOS, tvOS et macOS

Apple a annoncé le lendemain de la présentation de la faille que les versions bêta de ses systèmes bénéficiaient d’un patch de sécurité. Il faudra attendre que ces versions soient disponibles pour le grand public dans les jours ou semaines à venir.

En revanche, on ne sait pas si la firme proposera une mise à jour du firmware pour ses anciens routeurs AirPort, qui ne sont plus commercialisés aujourd’hui.

Windows

Microsoft a déjà publié son patch de sécurité pour les appareils sous Windows 10 et Windows 10 Mobile le 10 octobre. Les autres versions de Windows bénéficiant encore des patchs de sécurité (Windows 7 et Windows 8.1) ont également eu droit au patch.

Il suffit donc de s’assurer d’avoir une machine à jour pour être protégé.

Linux et Unix sur ordinateur

OpenBSD a publié son patch en juillet. Un patch pour Ubuntu 14.04 LTS, 16.04 LTS et 17.04 a également été publié. Gentoo a également eu le droit à une mise à jour.

Une note de sécurité a été publiée pour les distributions compatibles Debian.

Les routeurs Wi-Fi

Il sera également nécessaire de mettre à jour tous les routeurs Wi-Fi du foyer. Malheureusement, il n’y a pas de règle générale et il faudra contacter chaque marque pour connaitre leur calendrier de mise à jour.

Owen Williams, développeur et journaliste, a publié un article réunissant tout les fabricants ayant déjà fait une annonce.

Les routeurs Google Wifi et OnHub seront mis à jour automatiquement, mais Google n’a pas communiqué un calendrier.

Les box françaises

Nous avons contacté les opérateurs français pour savoir quand ils proposeront une mise à jour de leurs box.

Free a déjà indiqué sur son bugtracker qu’aucune de ses box n’était affectée : ni la Freebox v5, ni la Freebox Crystal, ni la Freebox mini 4K, ni la Freebox v6. Ces box sont déjà sécurisées.

Orange a annoncé mardi soir, au terme d’une investigation, qu’aucune de ses Livebox n’est concernée.

Contactés mardi matin, Bouygues Telecom et SFR n’avaient pas encore d’informations à nous communiquer, mais s’engageaient à nous tenir informés. Bouygues Telecom est revenu vers nous mardi après-midi pour réaffirmer son implication, mais sans apporter de concret. Nous n’avions pas de nouvelles de SFR mercredi matin.

À lire sur FrAndroid : Normes Wi-Fi n, ac, ad… : le guide des débits