Une sérieuse alerte au Wi-Fi a été initialement donnée aux 100 plus grandes organisations américaines par la cellule en charge de la veille des menaces informatiques (US-CERT).
Désormais, elle est relayée par son homologue CERT-FR sous la houlette de l’ANSSI.
La vulnérabilité importante surnommée Krack (« key reinstallation attacks ») affecte le système d’authentification qui est largement exploité pour l’accès au Wi-Fi. Elle pourrait concerner à la fois les connexions sans fil à la maison et celles déployées en entreprise.
La faille est généralisée sur tous les systèmes (Windows, Linux, Android, Apple) car elle affecte le protocole WPA/WPA2 (acronyme de Wi-Fi Protected Access) exploité depuis 15 ans.
Le CERT-FR décrit la menace comme telle dans son bulletin d’alerte dédié.
« Plusieurs vulnérabilités ont été découvertes dans WPA/WPA2. Il est possible lors de l’établissement d’une session de communication utilisant ce protocole d’interférer sur le mécanisme en quatre temps visant à assurer la confidentialité des échanges », précise la cellule nationale d’alerte.
« Lors de cette phase d’initialisation, un utilisateur malveillant interceptant les communications entre un client et un point d’accès Wi-fi, peut amener le client à réutiliser des paramètres entrant en compte dans le chiffrement des données échangées. Cela peut permettre à un attaquant de provoquer une atteinte à la confidentialité des données. »
Le CERT-FR recommande d’appliquer « au plus vite » les correctifs pour ces vulnérabilités diffusés par les éditeurs.
« Votre niveau de vulnérabilité dépend de plusieurs facteurs comme le type d’appareils que vous utilisez, mais tous les internautes utilisant le Wi-Fi sans prendre de précautions sont une cible potentielle », estime Jarno Niemelä, Lead Researcher pour le Laboratoire de l’éditeur de solutions de sécurité IT F-Secure, dans une réaction diffusée par voie de presse.
« Les problèmes de sécurité liés aux protocoles Wi-Fi sont déjà bien connus, mais ces nouvelles attaques viennent s’ajouter à la longue liste des défauts de conception des protocoles de sécurité réseau. Les internautes doivent en être informés. »
Un an et demi après sa publication initiale, le RGESN est mis à jour. Tour…
Le régulateur britannique de la concurrence renonce à une enquête approfondie sur le partenariat de…
À partir de juillet 2024, Microsoft imposera progressivement le MFA pour certains utilisateurs d'Azure. Aperçu…
La pépite française de l'informatique quantique Pasqal va installer un ordinateur quantique de 200 qubits…
Le fonds de pension australien UniSuper a vu son abonnement Google Cloud supprimé - et…
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.