Les réseaux wifi ne sont plus sécurisés. Depuis lundi matin, l’affaire fait les gros titres de toute la presse informatique. Une énorme faille dans la sécurisation des réseaux Wi-Fi vient d’être rendue publique par une équipe de chercheurs belges, britanniques et allemands.
Cette dernière permet à un pirate de se connecter en Wi-Fi à quasiment n’importe quel appareil et d’intercepter le trafic. Elle peut également servir à monter des attaques encore plus vicieuses, comme de l’usurpation de noms de domaine.
«Cela peut être utilisé pour voler des informations sensibles comme des numéros de carte de crédit, des mots de passe, des messages instantanés, des courriels, des photos, etc. L’attaque fonctionne contre tous les réseaux Wi-Fi modernes», résument les chercheurs sur le site qu’ils ont créé pour présenter leur découverte.
Quasiment tous les appareils concernés
La faille affecte le protocole WPA2 [page wikipedia] utilisé par la quasi-totalité des équipements domestiques ou professionnels. Grâce à une méthode baptisée Krack, forçant la réinstallation de clés cryptographiques déjà utilisées, les chercheurs ont réussi à être reconnus par la réseau. A noter que tous les appareils équipés de Wi-Fi sont potentiellement vulnérables: cela inclut notamment les smartphones, tablettes ou ordinateurs portables…
Selon les chercheurs, plus de 40% des smartphones Android seraient vulnérables. Ce qui ne signifie pas que les 60% restants sont à l’abri, loin de là.
Aucune alternative pour l’instant
Tenue secrète, la faille avait été révélée aux constructeurs à la fin du mois d’août. Certains correctifs ont déjà été déployés, mais l’écrasante majorité des appareils sont toujours vulnérables. Et certains, faute de mise à jour, le resteront probablement.
La situation est prise d’autant plus au sérieux que le WPA2 constitue le protocole le plus sécurisé et que toutes ses variantes sont affectées. N’espérez pas contourner le problème en repassant à son ancêtre WPA. Et encore moins au WEP, qui se pirate en quelques minutes depuis le début des années 2000.
Modifier son mot de passe est également inutile. L’attaque Krack ne récupère pas ce dernier, il s’en passe.
Peu de parades pour l’utilisateur ?
Les plus paranoïaques auront déjà désactivé leur réseau Wi-Fi et ressorti du placard leurs vieux câbles ethernet. Les autres se contenteront d’attendre la mise à jour de leur appareil et de privilégier les sites chiffrés en https lorsqu’ils surfent sur internet. Ceux qui disposent d’un VPN [page wikipedia] peuvent également l’activer. De cette manière, les données seront chiffrées à un autre niveau et donc difficilement exploitables par un pirate qui aurait réussi à les intercepter.
Si vous possédez un smartphone, vous pouvez également couper le Wi-Fi et privilégier la 4G.
A noter toutefois que pour un pirate puisse s’introduire sur votre réseau, il lui faudra se trouver à proximité physique de ce dernier.