Une petite bombe a été dévoilée aujourd’hui. Il s’agit de la faille KRACK, elle concerne le Wi-Fi et plus exactement le protocole WPA2 qui se charge de sécuriser la connexion. La plupart des appareils (smartphones, tablettes, ordinateurs, etc) qui se connectent en Wi-Fi sont concernés par la faille, tout comme les modems/routeurs (comme les box des opérateurs) qui diffusent la connexion.

Présentation de la faille KRACK

Les appareils d’Apple peuvent se connecter aux réseaux Wi-Fi utilisant le protocole WPA2, ils sont donc concernés. Mais il y a une bonne nouvelle : Apple est au courant et prévoit un correctif avec iOS 11.1 sur iPhone, iPad et iPod touch, macOS 10.13.1 sur Mac, watchOS 4.1 sur Apple Watch et tvOS 11.1 sur Apple TV. Les quatre systèmes d’exploitation sont à ce jour disponibles en version bêta auprès des développeurs et le correctif est déjà inclus. La version finale de chaque système d’exploitation arrivera d’ici quelques semaines. Pour l’instant, Apple ne dit pas s’il proposera une mise à jour d’iOS 10 pour les appareils 32 bits.

Dans le détail, la faille KRACK permet à une personne mal intentionnée d’afficher en clair des données qui circulent sur le réseau Wi-Fi protégé avec le protocole WPA2. La personne peut aussi injecter du code malicieux pour éventuellement diffuser des malwares. Dans les deux, il est nécessaire d’être à proximité du réseau Wi-Fi.

Ceci s’explique par la façon dont un routeur et un appareil communiquent. Quatre étapes ont lieu, la faille se situe dans l’étape 3. À ce moment, le routeur transmet une clé temporaire d’accès à l’appareil qui veut se connecter. S’il n’y a pas de réponse, la clé va être envoyée sans cesse jusqu’à que l’appareil se connecte. C’est là qu’une personne malveillante peut s’incruster pour obtenir des informations.

Outre Apple, Microsoft propose des correctifs sur Windows et Google prévoit de boucher la faille dès le mois prochain sur Android. Mais il faudra que les constructeurs diffusent eux-même la mise à jour pour leurs utilisateurs. Les constructeurs d’appareils devront aussi diffuser des mises à jour.