Pendant des années, les experts en sécurité ont mis en garde contre les dangers des connexions Wi-Fi en matière de vie privée et de sécurité. Depuis quelques années et l’apparition des dernières versions de ce fameux protocole, ces craintes semblaient s’être éloignées. Loin de là.

Mathy Vanhoef, chercheur à l’université catholique de Louvain, vient d’établir, dans un article publié lundi 16 octobre, que la quasi-totalité des réseaux Wi-Fi étaient vulnérables à des attaques (surnommées KRACK – Key Reinstallation AttaCKs, attaques en réinstallation de clés) permettant d’accéder au trafic des utilisateurs connectés à un réseau donné et donc à certaines de leurs données sensibles. Dans certains cas extrêmes, il est même possible de modifier les données échangées et d’en insérer de nouvelles, par exemple pour propager un programme malveillant.

Sa découverte a été rapidement confirmée par le centre gouvernemental américain d’alerte sur la sécurité informatique (US-CERT), qui dépend du département de la sécurité intérieure. Son homologue français, au sein de l’Agence nationale de sécurité des systèmes d’information, a également déclenché une alerte.

Une attaque qui ne peut pas être déclenchée à distance

Plusieurs éléments limitent quelque peu l’impact de cette vulnérabilité : d’abord, pour qu’un attaquant puisse l’exploiter, il faut que ce dernier se trouve sur le même réseau Wi-Fi que la victime. Autrement dit, un criminel ne peut pas mettre en œuvre l’attaque à distance. Ensuite, une part significative des sites ou applications traitant de données sensibles ou personnelles utilisent le HTTPS, un protocole qui chiffre les données lorsqu’elles sont transmises sur Internet : une protection qui peut pallier celle, défaillante, du réseau Wi-Fi. Le chercheur avertit cependant que « cette protection supplémentaire peut être contournée dans un nombre inquiétant de situations ». Enfin, le chercheur a décidé de ne pas mettre en ligne l’outil qu’il a créé pour exploiter la faille découverte. En théorie, les pirates désireux de l’exploiter doivent donc se baser sur l’article publié par le chercheur pour construire eux-mêmes cet outil. Une démarche loin d’être impossible, mais qui met un léger obstacle sur le chemin des attaquants.

L’étendue de cette vulnérabilité la place cependant parmi les failles les plus critiques découvertes ces dernières années. La vulnérabilité ne concerne pas seulement les réseaux Wi-Fi publics, mais également les réseaux Wi-Fi proposés par les grands fournisseurs d’accès à Internet français, et, plus généralement, tous les appareils disposant d’une connexion Wi-Fi (smartphones, ordinateurs portables, objets connectés…) quels que soient leurs fabricants, même si de toutes les attaques rendues possibles par cette faille, toutes ne sont pas aussi critiques. Les téléphones fonctionnant avec Android 6.0 sont les plus sévèrement touchés. « Si votre appareil est compatible avec le Wi-Fi, il est très certainement affecté [par la faille] » écrit le chercheur sur le site mis en place pour l’occasion.

Du fait de la nature de la vulnérabilité, il est inutile de changer le mot de passe de sa connexion Wi-Fi, laissant la plupart des utilisateurs relativement démunis. Le seul moyen de résoudre cette faille est d’attendre que les constructeurs proposent une mise à jour au système de connexion de leurs appareils : il faut donc appliquer à la lettre les recommandations d’usage en la matière et ne pas regimber lorsqu’une nouvelle version du système d’exploitation de son téléphone ou de son ordinateur est disponible. Mais cette précaution est plus difficile à suivre pour certains types de matériels comme les objets connectés (qui ne disposent pas tous de mises à jour) ou des « box » Internet, dont les mises à jour dépendent des fabricants.

Des correctifs déjà annoncés

Une mise à jour des logiciels des « box » qui équipent nombre de foyers français est-elle au programme ? Contactés lundi 16 octobre, ils n’ont pour le moment pas répondu à nos sollicitations. Outre-Atlantique, la découverte de ces failles a déclenché un branle-bas de combat. Sous l’égide du centre de veille sur la sécurité informatique du gouvernement américain, certains fabricants d’équipements réseau ont déjà annoncé que des mises à jour corrigeant la faille étaient en cours de déploiement, notamment Cisco, Juniper ou Intel.

Sollicité par Forbes, Microsoft a indiqué qu’une mise à jour était déjà disponible. Google a expliqué travailler sur la question, toujours selon Forbes. La Wifi Alliance, groupement industriel qui fédère les fabricants de matériels Wi-Fi a confirmé que certaines entreprises « avaient déjà commencé à déployer des correctifs » et que les laboratoires qui certifient les produits compatibles avec le Wi-Fi prenaient dès maintenant en compte la vulnérabilité.

Une précaution peut être mise en place pour se prémunir contre la faille et les attaques KRACK : utiliser un réseau privé virtuel (VPN), qui encapsule tout le trafic dans une couche de chiffrement. La faille touchant les protocoles Wi-Fi WPA et WPA2, il ne faut cependant pas basculer sur d’autres protocoles comme le WEP, qui est à la sécurité des réseaux ce que la conduite à contresens sur l’autoroute est à la sécurité routière.