Wi-Fi : les ordinateurs et smartphones vulnérables à cause d'une faille

Les connexions Wi-Fi ne sont pas sûres. Deux chercheurs ont démontré une sérieuse faille dans le protocole de sécurité WPA2, le plus utilisé et le plus fiable pour protéger les réseaux sans-fil de type Wi-Fi. Ce mécanisme permet en principe de protéger les données transitant entre le point d'accès (une box Internet par exemple) et le terminal (un ordinateur ou un smartphone). Il s'avère cependant que les vulnérabilités découvertes permettent de mettre à mal la confidentialité des communications, de subtiliser des données sensibles et même d'injecter des programmes malveillants tels que des logiciels de rançon.

"Concrètement, le pirate peut utiliser cette nouvelle technique pour lire des informations qui étaient auparavant censées être chiffrées. Cela peut servir à voler des informations sensibles comme des numéros de carte de crédit, des mots de passe, des messages, des emails, photos et bien d'autres choses", détaillent deux spécialistes en sécurité informatique qui ont créé un site Internet pour exposer leur travail sur cette faille baptisée KRACK (acronyme anglais pour l'expression "attaque par réinstallation de clés").

Toutes les connexions Wi-Fi sont vulnérables

La brèche, complexe, détourne une étape de sécurité (appelée "4-way-handshake") dans la procédure d'authentification et d'autorisation d'une connexion Wi-Fi. Pour permettre aux experts de comprendre le procédé, une vidéo de démonstration a été mise en ligne sur YouTube par les chercheurs. Les détails techniques ont été gardés secrets pendant plusieurs semaines, afin de permettre au centre américain de veille, d'alerte et de réponse aux attaques informatiques (US-CERT) de prendre la mesure du problème et de prévenir les acteurs concernés.

Les auteurs de la découverte insistent sur le fait que la vulnérabilité concerne "sans doute" tous les appareils qui peuvent se connecter en Wi-Fi. Il s'avère d'ailleurs que les produits fonctionnant sous Linux et sous une version Android 6.0 ou plus sont particulièrement exposés. Une variante "dévastatrice" de l'attaque de base concerne même "41% des terminaux Android", rapporte The Verge. 

Comment s'en protéger ?

Pour l'heure, il semble impossible de savoir si l'attaque KRACK a déjà frappé. "Nous ne sommes pas en position de déterminer si cette vulnérabilité a été (ou est) exploitée quelque part", préviennent les chercheurs.

Inutile a priori de changer de smartphone, de téléphone ou de routeur : la faille, structurelle, est directement liée aux standards de sécurité du Wi-Fi. Changer de mot de passe sur sa box Internet ne sert à rien si les mises à jour n'ont pas été effectuées. Il convient ainsi de mettre à jour tous les appareils dès que les correctifs de sécurité seront disponibles. Une interrogation plane toutefois sur le calendrier de leur déploiement. "Nous allons patcher tous les appareils touchés dans les prochaines semaines", a fait savoir Google dans un communiqué.

Attention par ailleurs à ne pas opter, dans les paramètres de la box Internet, pour le protocole de sécurité le moins fiable, WEP, en attendant que la brèche soit totalement comblée pour le WPA2. Ce dernier reste le plus sûr, malgré tout. Sinon, plutôt que de se connecter en Wi-Fi, le ministère de l'Intérieur recommande officiellement d'utiliser la 4G.