WiFi : une faille de sécurité dans le protocole WPA2

KRACK est un acronyme pour « Key Reinstallation Attack », le nom de l’attaque contre le protocole WPA2 qui sécurise les réseaux Wi-Fi découvert par Mathy Vanhoef, un chercheur en sécurité flamand.
La sécurité de la connexion WPA2 est assurée par un 4-Way Handshake, une phase de négociation qui permet à un appareil (votre smartphone) de se connecter à un autre appareil (votre routeur). L’attaque cible le client qui se connecte, pas le routeur (sauf s’il est aussi client tel qu’en mode répéteur).
L’attaquant aura un peu de mal sur les dernières versions d’iOS, de macOS et de Windows, il n’est pas possible de déchiffrer totalement la connexion. Le pire étant pour Linux et Androïd, une autre faille permet d’accéder même aux données chiffrées !
La faille a été annoncée aux fabricants de matériel le 14 juillet dernier, et elle a été publiée ce jour.
Les dernières versions de MikroTik RouterOS (6.39.3, 6.40.4 et 6.41rc) ne sont pas concernées par cette faille.
Microsoft a été le premier à réagir, Intel a réagi très rapidement et propose de nouveaux pilotes pour ses produits Wi-Fi. Apple indique que cette faille est corrigée dans ses versions bêta, la prochaine mise à jour réglera le problème. Si vous utilisez un ordinateur sous Linux, un patch correctif est déjà disponible et peut facilement être installé sur les distributions basées sur Debian (dont Ubuntu), les autres devraient suivre rapidement. Quant à OpenBSD, le correctif était déjà appliqué dans les versions actuelles.
Google travaille sur un correctif qui devrait être publié dans les prochaines semaines.
Tant que vos clients WiFi ne sont pas à jour, vous êtes vulnérables, surveillez les mises à jour et appliquez-les dès que possible.
Il n’y a pas de raison de paniquer pour l’instant, pour être hacké il faut que l’attaquant soit à portée de votre réseau WiFi … mais si vous êtes pris de paranoïa vous pouvez désactiver le WiFi et vous connecter par câble.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *