Un défaut dévastateur dans le protocole de sécurité WPA dans le WiFi rend possible aux attaquants d’écouter vos données quand vous vous connectez au WiFi. Nommé KRACK, la faille affecte le procole WiFi lui-même – pas des produits ou mises en oeuvre spécifiques – et « fonctionne contre tous les réseaux WiFi protégés modernes », d’après Mathy Vanhoef, le chercheur qui l’a découvert. Cela signifie que si votre appareil utilise du WiFi, KRACK a probablement un impact sur lui. Heureusement, des compagnies de technologie majeures avancent rapidement pour réparer la faille.
Lisez sur ce que vous devez savoir sur la vulnérabilité WiFi KRACK, de comment elle fonctionne à comment se protéger au mieux contre elle. Nous mettrons à jour cet article à plusieurs reprises quand plus d’informations deviendront disponibles.
Comment KRACK casse-t-il la sécurité WiFi ?
KRACK (court pour, euh, Key Reinstallation AttaCK) vise la troisième étape dans le protocole « 4-way handshake » d’authentification fait quand votre appareil client WiFi tente de se connecter à un réseau WiFi protégé. La clé de cryptage peut être renvoyé plusieurs fois pendant l’étape trois, et si des attaquants collectent et retransmettent ces rediffusions de façons particulières, le cryptage de sécurité WiFi peut être cassé.
C’est la version CliffsNotes. Pour une explication techniquement plus détaillée, allez voir le site web attaques KRACK de Mathy Vanhoef.
Quels appareils sont affectés par le KRACK?
Si votre appareil utilise du WiFi, il est probablement vulnérable à la faille de sécurité WiFi KRACK à un certain degré, bien que certains soient plus affectés que d’autres. Nous entrons dans les détails de comment des appareils particuliers sont affectés par KRACK dans une section dédiée plus loin en bas.
Que se passe-t-il quand la sécurité Wi-Fi est cassée ?
Tout d’abord, l’attaquant peut écouter tout le trafic que vous envoyez au réseau. « Il y a possibilité d’abus pour voler des informations sensibles comme des numéros de cartes de crédit, mots de passe, messages, emails, photos, etc », dit Vanhoef.
Le United States Computer Emergency Readiness Team a aussi émis cet avertissement dans son consultatif de sécurité KRACK, par Ars Technica: “l’impact de l’exploitation de ces vulnérabilités comprend le décryptage, packet replay, prise de contrôle de connexion TCP, injection de contenu HTTP, et autres. » L’injection de contenu HTTP signifie que l’attaquant pourrait se glisser dans les sites web que vous regardez pour infecter votre PC avec des ransomware ou malware.
Donc oui, c’est mauvais. Gardez vos boucliers de sécurité actifs, juste au cas où. Notre guide sur le meilleur logiciel antivirus peut vous aider à sélectionner une solution fiable si besoin.
La sécurité WiFi est-elle cassée dans la nature ?
“Nous ne sommes pas en position de déterminer si cette vulnérabilité a été (ou est) activement exploitée dans la nature, » dit Vanhoef. Le consultatif de US-CERT n’a pas inclus d’information sur si oui ou non KRACK est exploité dans la nature, nonplus.
Maintenant pour des nouvelles rassurantes : Alex Hudson de Iron Group CTO dit qu’un attaquant doit être situé dans la zone de votre réseau WiFi pour effectuer des plans néfastes avec KRACK. « Vous n’êtes pas soudainement vulnérable à tous sur internet », dit-il.
Comment se protéger de la faille du WiFi, KRACK
Gardez vos appareils à jour ! Vanhoef dit « les mises en œuvre peuvent être réparées d’une manière rétro-compatible. » Cela signifie que votre appareil peut télécharger une mise à jour qui protège contre KRACK et toujours communiquer avec du matériel non-protégé tout en étant protégé de la faille de sécurité. Etant donné l’étendue potentielle de KRACK, des réparations arrivent rapidement de la part de fournisseurs de matériel et de système d’exploitation majeurs. Les PC Windows à jour, par exemple, sont déjà protégés.
Jusqu’à ce que ces mises à jour apparaîssent pour d’autres appareils, les consommateurs peuvent toujours agir pour se protéger contre KRACK. La chose la plus facile serait de simplement utiliser une connexion ethernet câblée, ou rester sur la connexion cellulaire sur un téléphone. Ce n’est pas toujours possible cependant.
Si vous avez besoin d’utiliser un hotspot WiFi public – même un protégé par un mot de passe – restez sur des sites web qui utilisent un cryptage HTTPS. Les sites web sécurisés sont toujours sécurisés même avec une sécurité WiFi cassée. Les URL de sites web cryptés commenceront par « HTTPS », alors que les sites web non-sécurisés commenceront par « HTTP ». Le plug-in HTTPS Everywhere de navigateur de Electronic Frontier Foundation peut forcer tous les sites qui offrent un cryptage HTTPS à utiliser cette protection.
Alternativement, vous pouvez utiliser un réseau privé virutel (VPN) pour cacher tout votre trafic réseau. Ne faites pas confiance aux VPN gratuits inconnus, cependant – ils pourraient vouloir vos données également. Notre guide sur les meilleurs services VPN peut vous aider à choisir un fournisseur de confiance. Encore, gardez votre logiciel antivirus à jour pour vous protéger contre des malwares injectés de code potentiels.
A l’avenir, le Wi-Fi Alliance exigera un test pour la vulnérabilité KRACK WPA2 dans son réseau laboratoire de certification global, afin que de nouveaux appareils soient protégés dès le début.
FAQ de Sécurité WiFi d’appareil et de routeur
Mon téléphone est-il à risque ?
KRACK est une différente sorte d’attaque que les exploitations précédentes, du fait qu’il ne va pas après des appareils, il va après l’information que vous envoyez avec l’appareil. Alors pendant que des données stockées dans votre téléphone seraient à l’abri des hackers, quand vous l’utilisez pour envoyer un numéro de carte de crédit, mot de passe, email ou message avec le WiFi, ces données pourraient être volées.
Donc mon routeur est vulnérable ?
C’est plus proche, mais toujours pas totalement exact. Ce n’est pas l’appareil qui est à risque, c’est l’information, donc les sites que vous visitez qui ne sont pas HTTPS sont plus vulnérables.
Oh, donc je devrais changer le mot de passe du WiFi ?
Et bien, vous pouvez, mais ça ne va pas arrêter la possibilité d’une attaque. L’exploitant vise l’information qui aurait du être cryptée par votre routeur, donc l’attaquant n’a pas besoin de cracker votre mot de passe pour la mettre en œuvre. En fait, ça n’a pas de rapport avec l’attaque.
Donc tous les appareils sont à risque ?
Maintenant vous comprenez. Cependant, alors que n’importe quel appareil qui envoie et reçoit des données avec le WiFi est à risque, les chercheurs qui ont découvert l’attaque disent que les appareils Android étaient plus à risque que d’autres téléphones mobiles.
Génial, j’ai un téléphone Android. Mais je fonctionne sur Nougat, donc je suis en sécurité, n’est ce pas ?
Malheureusement, non. Les téléphones plus récents fonctionnant sur Android 6.0 ou une version ultérieure sont en fait plus à risque puisqu’il y a une vulnérabilité existante dans le code qui compose le problème et rend plus facile d’ « intercepter et manipuler le trafic ».
Google s’attend à avoir un patch de sécurité près pour le 6 Novembre, qui devrait rapidement s’étendre aux appareils Pixel et Nexus. Mais ça pourrait prendre des semaines ou même des mois aux fabricants de matériel Android et fournisseurs de téléphones Andoid de valider et étendre le patch aux autres téléphones et tablettes. Beaucoup d’appareils, surout les plus anciens, pourraient ne jamais recevoir la mise à jour.
Donc mon iPhone et Mac sont-ils en sécurité ?
Plus en sécurité que Android, mais toujours pas entièrement sécurisés. Apple a dit dans une déclaration que tous les betas iOS, macOS, watchOS, et tvOS incluent une réparation pour KRACK. Elle va s’étendre à tous les appareils dans les semaines à venir.
Et les PC Windows ?
Ils sont en sécurité si vous êtes resté à jour. Microsoft a sorti un patch Windows pour se protéger contre KRACK le 10 Octobre, avant que la vulnérabilité soit publique.
Je fonctionne sur Linux. Je suis impossible à attaquer, n’est ce pas ?
Pas vraiment. Les chercheurs ont vu que les machines Linux étaient les appareils de bureau les plus vulnérables, avec un bug similaire à celui trouvé dans le code Android. Maintenant pour les bonnes nouvelles : Un patch upstream Linux est déjà disponible, ainsi que les mises à jour qui bloquent KRACK pour les distributions Ubuntu, Gentoo, Arch, et Debian. Un patch est aussi disponible pour OpenBSD.
J’ai les mises à jour automatiques activées. Comment je sais si mon appareil mobile a été mis à jour ?
Le moyen le plus rapide est de vérifier l’onglet des mises à jour du logiciel du système dans votre application Paramètres pour voir quand la version la plus récente a été mise à jour. Plus utile, Owen Williams garde une liste des compagnies qui ont distribué des patch sur son blog Recharged. C’est une ressource exceptionnelle.
Et mon routeur ?
D’abord, vous devriez vérifier si votre routeur a des mises à jour firmware en attente. La plupart des gens ne sont pas aussi vigilants dans les mises à jour de leur routeur qu’ils le sont avec leurs téléphones et PC, alors connectez-vous dans votre page d’administrateur et installez toute mise à jour en attente. S’il n’y en a pas, c’est une bonne habitude de vérifier tous les jours, vu que les compagnies vont mettre en place des patch dans les semaines à venir, avec certains étant déjà éxécutés.
Netgear, Intel, Eero, et les fournisseurs de réseau concentrés sur le business ont déjà des patch de routeur KRACK disponibles. Celui de Eero se met en place automatiquement comme une mise à jour over-the-air. Le firmware du routeur populaire DD-WRT a conçu un patch, mais il n’est pas encore disponible au téléchargement. Attendez-le bientôt.
Donc devrais-je éteindre le Wi-Fi ?
Ce n’est probablement pas une option viable pour la plupart des gens, mais si vous êtes complètement paniqué, alors la façon d’être complètement en sécurité est d’éviter d’utiliser le WiFi jusqu’à ce que vous sachiez que votre routeur a été réparé.