Faille WPA2: les patchs arrivent
Alors que Microsoft et Apple présentent des correctifs pour faire face à la faille du protocole WPA2, Google n’introduit sa prochaine mise à jour pour Android que le 6 novembre. En Suisse, les opérateurs s’activent pour sécuriser leurs box wifi.
Les failles du protocole WPA2 dévoilée le 16 octobre, découvertes par des chercheurs belges, rendent vulnérables tous les appareils se connectant au Wifi. La technique KRACK (key reinstallation attacks), détaillée par les chercheurs, permet d'exploiter la faille en question.
En Suisse, les différents fournisseurs de box wifi s’activent à régler le problème. «Nous sommes en contact étroit avec les autorités et les fabricants pour définir les mesures nécessaires et corriger rapidement cette faille», explique Rolf Ziebold, responsable de communication chez Sunrise contacté par ICTjournal. Il en va de même pour Swisscom, qui souligne au passage que les Access-Points et les routeurs ne sont pas concernés en premier lieu. L'opérateur ajoute qu'il n'a pour l'instant aucune indication d'avoir été touché par cette faille. UPC se passe de commentaires pour le moment. Le fournisseur de réseaux câblés étant toujours «en train d'évaluer l'étendue du problème».
Pour se protéger, les utilisateurs ont donc intérêt à mettre à jour les systèmes d’exploitation de leurs appareils mobiles et de leurs PC. Encore faut-il que les éditeurs aient publié les patchs de sécurité nécessaires. Qu’en est-il actuellement des OS les plus utilisés?
Windows
Microsoft annonce sur son catalogue en ligne Security Update Guide les détails de la mise à jour de sécurité WPA2. Selon le catalogue, toutes les versions actuellement supportées de Windows ont été corrigées, soit Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 et Windows Server 2016. Microsoft a intégré, discrètement, un patch anti-KRACK dans la mise à jour de sécurité livrée le 10 octobre, soit 6 jours avant l’annonce des chercheurs belges. La firme de Redmond se serait gardée de divulguer l’existence de la faille afin de protéger les utilisateurs des autres systèmes d’exploitation. «Microsoft s’est mis à jour rapidement pour protéger les clients dès que possible. Mais en tant que partenaire responsable de l'industrie et pour protéger les clients utilisant d'autres systèmes d’exploitation, nous n’avons pas souhaité divulguer les informations jusqu'à ce que d'autres fournisseurs puissent développer et publier leurs propres mises à jour», explique la firme californienne dans un texte accompagnant la mise à jour.
Apple
De son côté, Apple aurait déjà mis en place un correctif dans les versions bêta d’iOS, tvOS, watchOS et macOS, indique le site d’information iMore.
Android
Google ne propose quant à lui son correctif que dans son patch de sécurité du 6 novembre. Pourtant dans leur rapport, les chercheurs belges mettent en avant la forte vulnérabilité d’Android, désignant l’attaque comme «exceptionnellement dévastatrice contre Android 6.0 ou une version ultérieure».
