Découverte ce lundi 16 octobre, la faille de sécurité dans les réseaux Wi-Fi, baptisée Krack, a fait couler beaucoup d’encre. L’ampleur de cette faille et les conséquences qu’elle peut avoir sont immenses, ce qui justifie largement une certaine inquiétude et une nécessité, pour les fabricants, de réagir aussi vite que possible. Pour autant, il ne s’agit pas de l’apocalypse annoncée par certains journalistes, une attaque par ce biais présentant de sérieuses contraintes, et la riposte s’organisant.
Depuis l’attaque de Mirai, les médias généralistes se sont emparés, avec gourmandise, du sujet des cyberattaques et de la sécurité numérique. Evolution logique, tant cet aspect du renseignement, du banditisme, voire du terrorisme, a pris de l’ampleur ces dernières années, au point de se retrouver au cœur des dernières élections présidentielles américaines.
Vers un Armageddon numérique ?
Pour autant, un peu de mesure serait parfois nécessaire : la lecture de certains articles sur la faille Krack, affectant le protocole WPA2 des réseaux Wi-Fi et rendant vulnérables les données échangées par ce biais, donnait le sentiment d’un Armageddon numérique aussi terrifiant que le prétendu bug de l’an 2000.
Il ne s’agit pas de minimiser l’importance de cette faille, qui est sans doute la plus préoccupante révélée au cour de cette année : mais elle ne signifie pas pour autant que toutes les données transmises par toutes les connexions Wi-Fi du monde sont déjà aux mains de hackers jubilants derrière leurs écrans.
Une faille critique mais compliquée à utiliser
A cela, deux grandes raisons : la première est qu’une attaque utilisant cette faille nécessite que l’assaillant puisse « capter » la connexion Wi-Fi qu’il veut pirater, donc relativement proche de sa source – ce qui exclue, de facto, les attaques à grande échelle fondant sur des milliers de poste. Un assaillant peut difficilement attaquer plus d’un poste à la fois, et il doit rester à proximité de sa cible en « attendant » qu’elle transmette des données critiques.
La seconde est que cette attaque est techniquement complexe à mettre en place. Un niveau élevé de compétences est requis. En effet, l’attaque vise l’échange de clé maître entre un dispositif émettant un réseau Wi-Fi (une box, un hotspot, etc.) et l’appareil se connectant à ce réseau par mot de passe. Cela explique le nom de l’attaque : Krack pour Key Reinstallation Attack (soit attaque par réinstallation de clés).
Elle ne vise donc pas à accéder au réseau en passant outre le mot de passe : une attaque Krack permet de déchiffrer, en direct, l’ensemble des données transmises entre l’appareil et le dispositif émetteur.
« Voler des informations sensibles telles que les numéros de carte de crédit »
Cela explique à la fois sa difficulté à être mise en place, qui en limite la portée, et sa dangerosité : elle peut potentiellement accéder à l’ensemble du trafic internet d’un appareil connecté en Wi-Fi – tout particulièrement un ordinateur, une tablette ou un smartphone reliés à une box. « Cela peut être employé pour voler des informations sensibles telles que les numéros de carte de crédit, les mots de passe, les messages chat, les e-mails, les photos, etc » explique Mathy Vanhoef, l’expert informatique à l’origine de ces découvertes.
Ayant posé que cette faille ne peut pas être utilisée à grande échelle, il faut convenir qu’elle est très inquiétante : car, en plus de toucher toutes les données, elle touche tous les systèmes : « Nous avons découvert que Windows, Apple, Linux, Android, OpenBSD, MediaTek, Linksys et d’autres sont tous affectés par certaines variantes de cette attaque » note Mathy Vanhoef.
Patchs en série et réseaux de renseignement aux aguets
Bien entendu, des patchs sont en cours de réalisation, tant par les Fournisseurs d’Accès à Internet (FAI) que par les fabricants de Wi-Fi et les éditeurs de système d’exploitation. Apple, Google ou Microsoft l’ont déjà fait, les FAI français y travaillent, Free a révélé que ses équipements étaient déjà protégés. Mais les patchs mettront du temps à être opérationnels, laissant encore la porte ouverte à des attaques Krack.
Cela autant, aucune attaque utilisant la faille Krack n’a été formellement identifiée. Son niveau de complexité et la nécessité d’être à proximité peut laisser supposer que, si elle a été utilisée ou l’est encore, c’est pour dérober des informations de très haute valeur, financières et stratégiques, notamment par des réseaux de renseignements ou de cyberbanditisme international.
L’assourdissant silence de la NSA dans cette affaire, et la masse impressionnante de documents que l’agence américaine a pu pirater, sont des indices que les services de renseignement américain ont peut-être eu la primeur de cette découverte…