Une sérieuse alerte au Wi-Fi a été initialement donnée aux 100 plus grandes organisations américaines par la cellule en charge de la veille des menaces informatiques (US-CERT).
Désormais, elle est relayée par son homologue CERT-FR sous la houlette de l’ANSSI.
La vulnérabilité importante surnommée Krack (« key reinstallation attacks ») affecte le système d’authentification qui est largement exploité pour l’accès au Wi-Fi. Elle pourrait concerner à la fois les connexions sans fil à la maison et celles déployées en entreprise.
La faille est généralisée sur tous les systèmes (Windows, Linux, Android, Apple) car elle affecte le protocole WPA/WPA2 (acronyme de Wi-Fi Protected Access) exploité depuis 15 ans.
Le CERT-FR décrit la menace comme telle dans son bulletin d’alerte dédié.
« Plusieurs vulnérabilités ont été découvertes dans WPA/WPA2. Il est possible lors de l’établissement d’une session de communication utilisant ce protocole d’interférer sur le mécanisme en quatre temps visant à assurer la confidentialité des échanges », précise la cellule nationale d’alerte.
« Lors de cette phase d’initialisation, un utilisateur malveillant interceptant les communications entre un client et un point d’accès Wi-fi, peut amener le client à réutiliser des paramètres entrant en compte dans le chiffrement des données échangées. Cela peut permettre à un attaquant de provoquer une atteinte à la confidentialité des données. »
Le CERT-FR recommande d’appliquer « au plus vite » les correctifs pour ces vulnérabilités diffusés par les éditeurs.
« Votre niveau de vulnérabilité dépend de plusieurs facteurs comme le type d’appareils que vous utilisez, mais tous les internautes utilisant le Wi-Fi sans prendre de précautions sont une cible potentielle », estime Jarno Niemelä, Lead Researcher pour le Laboratoire de l’éditeur de solutions de sécurité IT F-Secure, dans une réaction diffusée par voie de presse.
« Les problèmes de sécurité liés aux protocoles Wi-Fi sont déjà bien connus, mais ces nouvelles attaques viennent s’ajouter à la longue liste des défauts de conception des protocoles de sécurité réseau. Les internautes doivent en être informés. »
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…