Le protocole WPA premier du nom, venait remplacer le protocole WEP, cassé en 2001. WPA1, à son tour cassé en 2009, a été remplacé par WPA2, parfaitement sûr, mais officiellement cassé aujourd'hui.

Des chercheurs en sécurité ont trouvé des failles dans le protocole WAP2, qui peut être mis à mal par une attaque qu'ils ont baptisée "KRACK" pour "Key Reinstallation Attacks". Les principes de cette attaque sont expliqués sur un site créé pour l'occasion : www.krackattracks.com.

Le gros malaise est que le problème ne se situe pas dans telle ou telle implémentation, mais bien dans le protocole lui-même, ce qui revient à dire que désormais tout le monde est vulnérable sur un réseau WiFi qu'un tiers peut capter en se situant à proximité. Les chercheurs ont réalisé une preuve de concept (vidéo ci-dessus) qui intercepte les communications d'un smartphone Android. L'attaque KRACK est particulièrement dévastatrice sur Linux et Android 6.0 et supérieurs, soulignent les chercheurs.

Les chercheurs ont contacté le US-CERT (United States Computer Emergency Readiness Tea) qui fait autorité en matière de sécurité informatique Outre-Atlantique. L'organisme confirme la réalité de la vulnérabilité :

"Nous avons pris connaissance de plusieurs vulnérabilités majeures dans la gestion du WPA2. L'exploitation de ces vulnérabilités permet la relecture de paquets en transit sur le réseau, le piratage de la connexion TCP, l'injection de contenu malveillant en HTTP et bien d'autres choses. Il est à noter que, puisqu'il s'agit d'une faille se situant au niveau du protocole, la plupart voire même toutes les implémentations correctes de la norme sont affectées".

US-CERT avait convenu avec les chercheurs d'attendre le 16 octobre 2017 pour révéler la vulnérabilité au public.

Ou plutôt les vulnérabilités devrions nous dire :  CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

Succinctement, le problème se situe lors de la négociation d'une connexion, au cours d'un processus de poignée de main (handshake) à 4 voies. A ce moment, il est possible de remplacer une clé de cryptage générée pour sécuriser tous les échanges ultérieurs dans la connexion. Ce qu'indique le nom de l'attaque : Key Reinstallation Attacks. Le cryptage de la connexion étant mis à mal, il est évident que tout devient possible pour un attaquant. Vol de mots de passe et de données bancaires bien sûr, mais ça c'est juste pour s'échauffer. Il est aussi possible de bidouiller le contenu des paquets qui transitent la connexion et d'y injecter du contenu malveillant par exemple. Pas de limite, sauf, à priori, avec les connexions HTTPS dont le contenu devrait rester sécurisé.. Mais les chercheurs indiquent que les connexions HTTPS pourraient être court-circuitées dans bon nombre de situations embêtantes, sans fournir davantage de précisions.

Bref, désactivez le WIFi de votre smartphone, et chez vous méfiez-vous de votre voisin qui capte votre box Internet. L'ennemi est partout... ;-) En attendant que les fabricants mettent à jour le micrologiciel des boxes.