La faille dans le protocole de sécurisation des réseaux wifi révélée lundi est une très mauvaise nouvelle pour le monde de l’internet sans fil, mais il ne faut pas paniquer pour autant, selon des spécialistes interrogés.
« On va vivre pendant des années avec des wifi percés! », a réagi mardi Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), qui coordonne la défense française contre les cyberattaques. « On est condamné à attendre que les mises à jour soient proposées par les différents éditeurs, ce qui laissera la question de tout ce qui ne sera pas mis à jour », a-t-il expliqué.
Si l’Anssi attend de « voir exactement ce que ça permet de faire », les spécialistes de la cybersécurité ont déjà multiplié les avis et conseils. Ils ont eu d’autant plus le temps de s’intéresser à la question que l’agence américaine de sécurité informatique (Cert), qui fait partie du département de la Sécurité intérieure, en avait mis certains au parfum avant d’émettre son bulletin d’alerte, le temps notamment de préparer la défense.
C’est le protocole de chiffrement WPA2, utilisé par quasiment tous les réseaux wifi pour se protéger des intrusions, qui est vulnérable: il est possible grâce à la faille révélée lundi d’accéder à toutes les données transmises en wifi depuis des téléphones mobiles, ordinateurs, tablettes, etc.
Pour l’heure, on ne sait pas si des cyberpirates ont effectivement utilisé cette vulnérabilité pour infiltrer des réseaux. « Il faut s’inquiéter. La brèche est globale et affecte quasiment toutes les implémentations de WPA2 », souligne Jérôme Robert, responsable marketing d’EclecticIQ, une société néerlandaise spécialisée dans les cybermenaces.
« Pour autant, pas de panique », tempère-t-il. « Les sites les plus sensibles utilisent tous une couche de chiffrement supplémentaire (qui correspond au +s+ de +https+) qui empêche l’exploitant de cette faille de capturer les communications vers et depuis ces services. On n’aura donc vraisemblablement pas de grande catastrophe dans les prochaines semaines. »
Protections supplémentaires
Les spécialistes interrogés par l’AFP conseillent aussi d’installer un VPN, un logiciel permettant de protéger les échanges de données. En effet, précise la société russe Kaspersky Lab, « un criminel qui intercepte la transmission recevra toutes les données, mais toutes les données ne seront pas lisibles ». Les encodages supplémentaires des sites sécurisés de type « https » et des tunnels VPN sont cryptés et « un attaquant (…) devra alors les craquer séparément ».
« Il est probable qu’il y aura un délai avant que la vulnérabilité ne soit utilisée pour attaquer réellement les réseaux », estime de son côté Candid Wüest, un chercheur chez Symantec. De telles attaques seraient selon lui « assez complexes à réaliser dans la pratique », mais loin d’être impossibles, car la vulnérabilité est « sérieuse ».
« Les petites entreprises et les particuliers doivent s’intéresser sérieusement à la question, mais ils ne doivent pas trop s’inquiéter », dit-il. « Il ne faut pas paniquer, mais il faut être très vigilant », renchérit le consultant parisien Jérôme Saiz. Il faut selon lui appliquer un correctif à ses équipements dès que possible (ou dès qu’il sera disponible) et se connecter en priorité au haut débit mobile (3G et 4G) en attendant.
« La vulnérabilité est sérieuse, mais elle peut heureusement être corrigée par une mise à jour logicielle. La seule contrainte est que pour être réellement protégé contre tous les types d’attaques, les deux extrémités de la connexion doivent être mises à jour », détaille M. Saiz.
Il nous reste donc à mettre à jour nos terminaux, et nous assurer que les bornes wifi le sont aussi. Certaines ne sont d’ailleurs pas concernées, puisqu’elles sont déjà équipées d’un VPN. Et, quoi qu’il en soit, cela ne sert à rien de changer ses mots de passe. Motif d’inquiétude, toutefois, pour Gaëtan Le Guelvouit, chercheur à l’Institut de recherche technologique breton b<>com: la faille, déplore-t-il « va perdurer des années sur la plupart des objets connectés ».
Le Quotidien / AFP