Des chercheurs de la KU Leuven ont découvert une énorme faille informatique dans le protocole de sécurité WiFi le plus utilisé au monde, WPA2. Ils ont commencé à publier leurs découvertes cet après-midi et ont baptisé la faille « KRAck » pour « Key Reinstallation Attacks ». La faille vise le protocole en lui-même et non une implémentation particulière, ce qui signifie que tous les engins capables de se connecter au WiFi (ordinateurs, smartphones, tablettes, télévisions, montres, bracelets, ampoules, cameras, box TV,… bref tout) sont à priori affectés par la faille, indépendamment de leur système d’exploitation. Et différence majeure avec de précédentes failles (comme heartbleed) : c’est le client (donc l’engin connecté, l’ordinateur,…) qui doit être sécurisé et non le serveur (donc le routeur, modem). La faille permet non seulement d’intercepter des données qui sont censées être sécurisées, mais également d’injecter du contenu et des malwares. Un attaquant pourrait donc forcer une cible à télécharger un virus plutôt qu’un logiciel anodin.
Des patchs de sécurité devraient être publiés prochainement, mais il est peu probables que la totalité des objets connectés soient sécurisés dans le futur proche, cette faille a donc un bel avenir devant elle.
Toutes les infos sur KRAck sont disponibles ici.
KRAck