Cela fait des années que des experts en sécurité mettent en garde contre les dangers des connexions Wi-Fi en matière de vie privée et de sécurité. Depuis quelque temps et l’apparition des dernières versions de ce fameux protocole, ces craintes semblaient s’être éloignées. Loin de là.
Mathy Vanhoef, chercheur à l’université KU Leuven (Belgique), vient d’établir, dans un article publié lundi 16 octobre, que la quasi-totalité des réseaux Wi-Fi étaient vulnérables à des attaques (surnommées Krack – Key Reinstallation AttaCKs, « attaques en réinstallation de clé ») permettant d’accéder au trafic d’utilisateurs connectés à un réseau donné et donc à certaines de leurs données sensibles.
Dans certains cas extrêmes, il est même possible de modifier les données échangées et d’en insérer de nouvelles, par exemple pour propager un programme malveillant.
Sa découverte a été rapidement confirmée par le centre gouvernemental américain d’alerte sur la sécurité informatique (US-CERT), qui dépend du département de la sécurité intérieure. Son homologue français, au sein de l’Agence nationale de sécurité des systèmes d’information, a également déclenché une alerte.
Une attaque ne peut pas être déclenchée à distance
Plusieurs éléments limitent quelque peu l’impact de cette vulnérabilité. D’abord, pour qu’un attaquant puisse l’exploiter, il faut que ce dernier se trouve à portée du réseau Wi-Fi sur lequel se trouve la victime. Autrement dit, un criminel ne peut pas perpétrer l’attaque à distance.
Ensuite, une part significative des sites ou applications traitant de données sensibles ou personnelles utilisent le HTTPS, un protocole qui chiffre les données lorsqu’elles sont transmises sur Internet : une protection qui peut pallier celle, défaillante, du réseau Wi-Fi.
Mathy Vanhoef avertit cependant que « cette protection supplémentaire peut être contournée dans un nombre inquiétant de situations ». Enfin, il a décidé de ne pas mettre en ligne l’outil qu’il a créé pour exploiter la faille découverte. En théorie, les pirates désireux de l’exploiter doivent donc se baser sur l’article publié par le chercheur pour construire eux-mêmes cet outil. Une démarche qui est loin d’être impossible, mais qui met un léger obstacle sur le chemin des attaquants.
L’étendue de cette vulnérabilité la place cependant parmi les failles les plus critiques découvertes ces dernières années. Elle ne concerne pas seulement les réseaux Wi-Fi publics, mais aussi ceux qui sont proposés par les grands fournisseurs d’accès à Internet français, et, plus généralement, tous les appareils disposant d’une connexion Wi-Fi (smartphone, ordinateur portable, objet connecté…) quels que soient leurs fabricants, même si parmi toutes les attaques rendues possibles par cette faille, toutes ne sont pas aussi critiques.
Les téléphones fonctionnant avec Android 6.0 sont les plus sévèrement touchés. « Si votre appareil est compatible avec le Wi-Fi, il est très certainement affecté [par la faille] », écrit le chercheur sur le site ouvert pour l’occasion.
Des correctifs déjà annoncés
Du fait de la nature de la vulnérabilité, il est inutile de changer le mot de passe de sa connexion Wi-Fi, ce qui laisse la plupart des utilisateurs relativement démunis. Le seul moyen de résoudre cette faille est d’attendre que les constructeurs proposent une mise à jour au système de connexion de leurs appareils : il faut donc appliquer à la lettre les recommandations d’usage en la matière et ne pas regimber lorsqu’une nouvelle version du système d’exploitation de son téléphone ou de son ordinateur est disponible.
Mais cette précaution est plus difficile à suivre pour certains types de matériels, comme les objets connectés (qui ne disposent pas tous de mises à jour), ou des « box » Internet, dont les mises à jour dépendent des fabricants.
Les « box » qui équipent nombre de foyers français sont-elles vulnérables ? Une mise à jour des logiciels des « box » est-elle au programme le cas échéant ? Contacté lundi, Free affirme que ses box ne « sont pas concernées » par la faille. Les autres opérateurs n’ont, mardi midi, pas répondu à nos sollicitations.
Outre-Atlantique, la découverte de ces failles a déclenché un branle-bas. Sous l’égide du centre de veille sur la sécurité informatique du gouvernement américain, certains fabricants d’équipements réseau – notamment Cisco, Juniper ou Intel – ont déjà annoncé que des mises à jour corrigeant la faille étaient en cours de déploiement.
Utiliser un réseau privé virtuel
Sollicité par Forbes, Microsoft a dit qu’une mise à jour était déjà disponible. Google a dit travailler à la question, toujours selon Forbes.
Quant à la Wifi Alliance, un groupement industriel qui fédère des fabricants de matériels Wi-Fi, elle a confirmé que certaines entreprises « avaient déjà commencé à déployer des correctifs » et que les laboratoires qui certifient les produits compatibles avec le Wi-Fi prenaient dès maintenant en compte la vulnérabilité.
Une précaution peut être mise en place pour se prémunir contre la faille et les attaques Krack : utiliser un réseau privé virtuel (VPN), qui encapsule tout le trafic dans une couche de chiffrement. La faille touchant les protocoles Wi-Fi WPA et WPA2, il ne faut cependant pas basculer sur d’autres protocoles comme le WEP, qui est à la sécurité des réseaux ce que la conduite à contresens sur l’autoroute est à la sécurité routière.
Voir les contributions
Réutiliser ce contenu
