Passer au contenu

Amazon a laissé traîner la faille Wi-Fi « Krack » durant un an sur ses enceintes Echo

Il a fallu attendre que la firme américaine soit alertée par une entreprise tierce pour qu’elle détecte, puis colmate la faille. C’est surprenant, car le problème était connu depuis plus d’un an.

La sécurité  de la plupart des objets connectés est, on le sait, assez pitoyable. Beaucoup de fabricants de seconde zone ne cherchent qu’à mettre le plus rapidement possible leur produit sur le marché, tirant un trait sur les mesures de protection les plus élémentaires. On pensait que les géants high-tech avaient une philosophie différente, question d’image. Mais les chercheurs en sécurité d’Eset nous prouvent que ce n’est pas forcément vrai. 

En octobre 2018, ils ont découvert que la première génération d’enceintes connectées Amazon Echo était vulnérable à la faille « Krack », tout comme les liseuses Kindle de 8e génération. « Cette faille permettait de déchiffrer les flux Wi-Fi WPA2, d’y injecter des données ou d’extraire des informations sensibles », précise Stefan Svorencik, chercheur chez Eset, à l’occasion d’une conférence de presse. 

Une attitude pas très proactive 

Le souci, c’est que la faille Krack avait été découverte un an auparavant, à la fin 2017. Elle avait même été largement médiatisée, en raison du grand nombre d’appareils affectés et du risque qu’elle pouvait engendrer. L’attaque était particulièrement triviale sur les appareils qui s’appuient sur système Android, ce qui est justement le cas des enceintes Echo. Il n’est pas très étonnant que le produit d’Amazon ait été touché… En revanche, il est surprenant qu’une entreprise de cette taille soit alertée par une entreprise tierce dans un cas aussi flagrant. 

Il n’y que deux hypothèses possibles : soit Amazon n’a pas vérifié la présence de cette vulnérabilité, ce qui serait très négligent ; soit l’entreprise a bien vu le problème, mais a estimé que le risque était faible, ce qui serait présomptueux. Amazon a également traîné un peu des pieds pour la résolution. Eset a révélé la faille auprès d’Amazon le 23 octobre 2018, mais ce dernier ne l’a confirmée que le 8 janvier 2019. Un patch a finalement été diffusé un mois plus tard. On aurait aimé un plus d’effort pour un appareil aussi sensible que cette enceinte connectée.  

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert Kallenborn
Sur le même sujet
Les dernières actualités
Google Maps
La nouvelle interface de Google Maps fait son apparition
Numériser Négatifs Photo
Comment scanner vos vieux négatifs photos avec votre smartphone ?
Xiaomi 13t Pro Xiaomi
En stock ultra limité, ce Xiaomi 13T Pro à moitié prix est une pure dinguerie (-47%)
Nintendo Switch OLED
Nintendo poursuit sa croisade contre l’émulateur Yuzu et ses clones
Microsoft Bing Satya Nadella
La peur de Google a poussé Microsoft dans l’IA
IDF Mobilités permettra bientôt de remplacer ses tickets de métro et certains pass Navigo par un smartphone
Le Passe Navigo Liberté+ bientôt utilisable sur smartphones et dans toute l’Île-de-France
Dacia Duster 2024 Essai Conduite
Essai du Dacia Duster (2024) : tous ses avantages et inconvénients
Samsung Neo Qled Qn900d 2024
Vous voulez une TV premium ? Samsung affiche des offres inédites jusqu’à -1000€
Top téléchargements