Avec la révélation, lundi 16 octobre, de la faille « KRACK », un léger vent de panique a soufflé dans les foyers où le Wi-Fi est souvent le principal moyen d’accès à Internet.
Il est vrai que cette faille touche a priori tous les équipements dotés de Wi-Fi. Mais, dans la réalité, tous les équipements ne sont pas vulnérables au déchiffrement des flux Wi-Fi, mais seulement à une variante peu dangereuse de l’attaque. Certains équipements ne le sont pas, ou ne le sont plus car ils ont déjà été patchés. Une liste des systèmes vulnérables est disponible sur le site cert.org.
Microsoft et OpenBSD étaient patchés avant l’heure
La palme d’honneur revient à Microsoft qui a déjà diffusé un patch le 10 octobre dernier. Pour les systèmes sous Windows 10, où les mises à jour sont installées automatiquement, il n’y a donc pas de soucis à se faire (à moins que cette mise à jour ait lamentablement plantée, ce qui arrive).
Pour les autres versions de Windows, il faut vérifier que le patch a bien été installé. Si ce n’est pas le cas, ce n’est pas dramatique non plus. D’après la note de sécurité de Microsoft, le pire qui peut arriver est que le pirate renvoie des paquets déjà envoyés, ce qui n’est pas facile à exploiter.
Certaines distributions Linux ont également réagi très vite et disposent déjà d’un patch. C’est le cas pour Ubuntu, Debian, ArchLinux et Raspbian. OpenBSD a même été patché en juillet dernier. Ce projet mérite également la palme d’honneur, même si ce système ne concerne pas le grand public.
Les correctifs d’Apple arrivent dans quelques semaines
De son côté, Apple a finalisé un patch en version beta. Selon Cnet, le version finale devrait être diffusée « dans les semaines qui viennent » pour iOS, macOS, tvOS et watchOS.
D’après le papier d’analyse sur Krack, macOS est vulnérable au déchiffrement des flux, iOS seulement au renvoi de paquets. Pour tvOS et watchOS, il n’y a pas d’informations. Ceci étant, comme il s’agit de systèmes dérivés d’iOS, on peut supposer que le risque est limité.
Côté Android, la situation est très variable, comme d’habitude. Samsung et Google ont déclaré qu’ils allaient diffuser des patchs « dans les semaines qui viennent ».
Chez Amazon, on n’est encore dans l’analyse de la situation sans donner de délai. Tous les autres fabricants sont pour l’instant aux abonnés absents. C’est très dommage car l’attaque Krack est particulièrement efficace contre les terminaux Android. Les utilisateurs impactés doivent donc rester vigilants : ne surfer que sur des sites HTTPS et, éventuellement, installer un VPN de confiance (si ça existe).
Côté FAI, la Freebox ne serait pas vulnérable
Autre zone à problèmes : les objets connectés. Ils fonctionnent souvent sous Linux et sont donc particulièrement vulnérables à l’attaque Krack. Malheureusement, les fabricants ne sont pas toujours très réactifs. Nest devrait fournir des patchs d’ici à quelques semaines. Le mieux est de consulter la liste de appareils vulnérables. Si la marque recherchée n’y figure pas, contactez directement le fournisseur.
Enfin, la situation des box Internet est encore assez floue. Selon Freenews, les Freebox ne sont pas vulnérables. Contactés par 01net.com, SFR et Orange sont encore en train d’analyser la situation.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
