Faille KRACK : que faire et ne pas faire pour se protéger des KRACKATTACKS ?

Par:
fredericmazue

mar, 17/10/2017 - 15:54

La vulnérabilité KRACK qui a été rendue publique hier est une des plus graves de l'histoire de l'informatique, car elle touche potentiellement tout personne qui utilise un réseau Wi-Fi public ou privé. Autant dire qu'elle touche tout le monde. Voyons quelques moyens de s'en protéger.

Même dans l'intimité de votre foyer, vous êtes vulnérables. Vous avez sans doute eu l'occasion de remarquer qu'il vous était possible de capter le réseau Wi-Fi, c'est-à-dire généralement la boîte de connexion à Internet, la 'Box' de votre voisin. Réciproquement votre voisin, ou vos voisins, captent votre réseau Wi-Fi. S'ils ne peuvent pas s'y connecter, c'est parce qu'en temps normal, votre réseau Wi-Fi est protégé par un mot de passe. Le gros problème avec KRACK est qu'il n'y a besoin d'aucun mot de passe ni d'aucune authentification pour capter en clair vos communications. Vous êtes donc vulnérables chez vous, à lamerci de vos voisins. Si vous ne voulez par faire le pari que ceux-ci sont de braves gens inoffensifs, il faut vous protéger de KRACK.

Des correctifs sont déjà en cours de déploiement

L'existence de KRACK a été révélée hier, mais elle est connue depuis plus longtemps, ce qui a permis aux éditeurs de logiciels de travailler sur le problème. Microsoft a diffusé un correctif dans son Tuesday Patch du 10 octobre, donc si vous utilisez un Windows encore supporté par Microsoft et à jour, vous êtes tranquille.  Apple indique que les versions bêta de iOS et macOS sont patchées et que les versions grand public le seront prochainement. Veillez donc à appliquer les mise à jour sur ces systèmes. Google travaille à la mise à jour d'Android. Des correctifs devraient arriver à partir du 6 novembre. Ils seront diffusés sur les smartphones Google, à savoir les Pixels et Nexus. Pour les autres appareils Android, ça va être plus compliqué en raison de la fragmentation de l'écosystème. Les correctifs arriveront quand ils arriveront, s'ils arrivent. Autrement dit les smartphones Android sont dramatiquement vulnérables, d'autant plus que les découvreurs de KRACK soulignent qu'une attaque KRACKATTACK sur ces systèmes est particulièrement dévastatrice...

Se protéger soi-même

Chez vous, ou au sein de votre entreprise, vous pouvez vous protéger de la vulnérabilité KRACK par l'utilisation d'un VPN, ou Virtual Private Network, qui est un système permettant de créer un lien direct entre des ordinateurs distants. La connexion entre les ordinateurs est gérée de façon transparente par le logiciel de VPN, créant un tunnel entre eux. Dans la foulée, le VPN crypte la communication. Ainsi même si un attaquant KRACK déchiffre le trafic de votre routeur Wi-Fi - ou de votre boîte de connexion qui est, fondamentalement, un routeur Wi-Fi accolé à un modem ADSL - la seule chose qu'il obtient est un trafic crypté en amont, donc inutilisable.

Chez vous, si vous ne voulez ou ne pouvez utiliser un VPN, la solution radicale est de désactiver le Wi-Fi dans la configuration de votre boîte de connexion à Internet. Et remplacer le Wi-Fi par des connexions filaires. Evidemment en ce qui concerne les tablettes et les smartphones, cette solution, toute radicale qu'elle est, n'est pas des plus pratiques :-)

A noter : la mise en place d'un filtrage d'adresses MAC dans votre routeur Wi-Fi est une fausse bonne idée. En effet le filtrage d'adresses MAC est bien connu pour être facile à craquer, les adresses MAC voyageant en clair sur le réseau, peuvent être captées et ensuite spoofées (usurpées). Un attaquant qui a les compétences techniques pour lancer une KRACKATTACK sera capable de mettre à mal très facilement un filtrage d'adresses MAC.  

Mettre à jour son matériel

Vue l'ampleur de la faille KRACK, les (bons) fabricants de routeurs Wi-Fi vont mettre à jour le micrologiciel de leurs appareils pour combler la faille. De votre côté, vous devez veiller à appliquer cette mise à jour dès sa disponibilité, si le processus de mise à jour n'est pas automatique.

Free signale que ses  Freebox v5, Freebox Crystal, Freebox mini 4K et Freebox v6 ne sont pas vulnérables à KRACK.

Un dernier mot : surtout ne pensez pas que revenir au vieux protocole WEP soit une bonne idée. C'en est même une très mauvaise. Ce protocole est définitivement vulnérable et tous les cybercriminels savent le mettre à mal.

Enfin désactivez le Wi-Fi de votre Android.