KRACK : les box Internet peu touchées par les failles dans WPA2

En début de semaine, il y a eu une communication publique au sujet des vulnérabilités critiques affectant le protocole Wi-Fi Protected Access (WPA) qui est utilisé pour la sécurisation des réseaux Wi-Fi.

Pour une exploitation, un attaquant doit être à proximité du réseau Wi-Fi pris pour cible. Les attaques dites KRACK (Key Reinstallation AttaCK) se situent au niveau de la procédure d'authentification 4-Way Handshake dans le protocole WPA2.

" Lors de cette phase d'initialisation, un utilisateur malveillant interceptant les communications entre un client et un point d'accès Wi-Fi, peut amener le client à réutiliser des paramètres entrant en compte dans le chiffrement des données échangées. Cela peut permettre à un attaquant de provoquer une atteinte à la confidentialité ou à l'intégrité des données ", écrit le CERT-FR.

Dans son bulletin d'alerte, le CERT-FR ajoute également " la possibilité de rejouer des paquets réseau, injecter du contenu vers un client connecté en Wi-Fi et d'accéder à des communications confidentielles. " Des éléments qui ont été évoqués sur le site Krackattacks.com.

Pour les systèmes d'exploitation, les principales préoccupations se portent du côté d'Android, sachant que tous les appareils ne profiteront pas nécessairement des correctifs à venir. Ces patchs avaient été préalablement déployés pour Windows et ont rapidement fait surface pour des distributions Linux. Ils sont prêts et arriveront bientôt pour les systèmes d'exploitation d'Apple.

Il y a aussi, par exemple, toute une flopée de routeurs et autres appareils dont les micrologiciels vont devoir être mis à jour. Difficile de dresser une liste. Il faut se renseigner du côté des sites des fabricants en fonction de sa propre situation. Comme d'habitude… ce sera très compliqué pour couvrir les objets connectés. Les failles KRACK vivront sans doute encore très longtemps.

Les box Internet françaises plutôt épargnées

Pour ce qui concerne les box Internet en France, Maxime Bizon, chef d'équipe logiciel pour la Freebox, a rapidement signalé que la Freebox Révolution, mini 4K et Crystal ne sont pas affectées parce qu'elles " n'activent pas le standard FT (ou 802.11r) " de transition rapide de jeu de services élémentaires. Pour basculer d'un point d'accès à un autre. " Quant à nos clients (Crystal, Mini 4K), elles utilisent un VPN par dessus le Wi-Fi, donc pas grand chose à déchiffrer. "

À l'AFP (Le Point), Orange a indiqué que ses box ne sont pas concernées par les vulnérabilités. " Nos équipes étaient pleinement mobilisées pour investiguer sur la potentielle vulnérabilité, Orange confirme qu'aucune de ses box n'est concernée par cette dernière. "

Du côté de SFR et Bouygues Telecom, la situation n'est pas encore totalement claire pour le moment. " Chez SFR et Bouygues Telecom, on précise travailler avec les constructeurs de box afin de s'assurer qu'aucune n'est concernée par la vulnérabilité ", écrit l'AFP.

Pour les éditeurs de solutions de sécurité, outre de vérifier auprès du fabricant de l'appareil utilisant des réseaux Wi-Fi si un correctif est disponible, un consensus qui se dégage est le recours à un VPN pour avoir l'esprit serein, avec dès lors la certitude d'une connexion sécurisée et chiffrée.

Par contre, à ne surtout pas faire… revenir au protocole WEP dont les faiblesses sont avérées depuis longtemps.