Cette vulnérabilité n’est pas un problème d’implémentation comme il en arrive souvent – par exemple une erreur de programmation telle que « goto fail » ou un dépassement de pile – ou d’avancées dans la cryptographie comme celles qui ont conduit à ne plus utiliser RC4, mais liée à une faille dans la succession des échanges utilisée pour réaliser un « handshake » entre la borne Wi-Fi et le client. Ainsi, des pirates peuvent subtiliser des données confidentielles, voire même introduire des programmes malveillants dans les appareils tels que les ordinateurs, les smartphones ou encore les objets connectés.

Tous les terminaux sont concernés, plus particulièrement ceux sous Android (à partir de la version 6.0 due à une faiblesse particulière de l’implémentation logicielle de wpa_supplicant), et certains points d’accès si le « fast roaming » (802.11r, Fast Transition) est utilisé.

Pour être exploitable, cette faille nécessite d’être « à proximité » du client pour capter et émettre des trames de données Wi-Fi vers ce dernier. Le hacker est alors en mesure d’intercepter des échanges cryptés entre deux personnes ou deux ordinateurs pour décoder les données. Cette attaque appelée « Man In The Middle » permet de collecter et de modifier le trafic entre le terminal et le réseau comme par exemple remplacer du HTTPs par du HTTP, beaucoup moins sécurisé.

Quelles solutions pour se prémunir contre la faille KRACK ?

À court terme, il est souhaitable de mettre à jour le logiciel de ses terminaux clients. Le patch est inclus dans le « patch Tuesday » de Microsoft du mois d’octobre, et sera proposé par Apple dans IOS 11.1. Google et AOSP le corrigeront également dans les versions d’Android compatibles. Dans ce dernier cas, il faudra se reporter à la politique de correction de problèmes de sécurité de chacun des équipementiers sous Android.

Par ailleurs, les spécialistes déconseillent fortement de remplacer le protocole WPA par un autre moins sécurisé comme WEP qui est vulnérable à bien d’autres attaques. L’exploitation de cette faille ne révèle pas la clef d’un réseau WPA2-PSK, il est donc inutile de changer les clefs ou de le rendre plus complexes.

À moyen terme, les applications transportées en Wi-Fi doivent être systématiquement sécurisées en utilisant un système garantissant l’intégrité et l’authenticité des paquets, voire leur confidentialité, comme par exemple un VPN pour des données ou un protocole durci et correctement configuré (TLS avec vérification des certificats et une protection contre les « downgrades »). Il faut également que le VPN lui-même soit vérifié ainsi que d’autres composants du terminal qui n’utiliseraient pas le VPN.

Les attaques peuvent très souvent être décelées, ceux qui exploitent une infrastructure Wi-Fi doivent ainsi mettre en œuvre des mesures de détection et des contre-mesures pour éviter ces intrusions.

À long terme, les fournisseurs de solutions Wi-Fi vont probablement mettre en œuvre des contre-mesures altérant le fonctionnement protocolaire (en devant rester interopérables) pour, par exemple, blacklister un client subissant ce genre de manipulations si l’infrastructure le détecte. En effet, il restera très probablement un assez grand nombre de terminaux vulnérables car la mise à jour ne sera pas possible.

Si cette faille a été identifiée, évitant ainsi de nombreuses attaques aux conséquences dévastatrices, les entreprises doivent aujourd’hui mettre en place de véritables politiques de sécurité préventives et travailler avec les opérateurs Wi-Fi qui gèrent notamment les aspects de sécurité. En effet, ces derniers doivent assurer une veille technologique, encadrer et accompagner les mises à jour (sous réserve de disponibilité des correctifs chez les équipementiers concernés) et utiliser des mécanismes de sécurité additionnels type VPN ou chiffrement TLS, afin de protéger les échanges.

Face à la recrudescence de vulnérabilités permettant des attaques ciblées ou globales, publiques et malheureusement pas encore publiées ou corrigées, le constat est sans appel : toutes les entreprises sont vulnérables. Cette situation doit ainsi motiver les organisations à redoubler de vigilance en mettant en place les infrastructures de sécurité nécessaires, en sensibilisant leurs collaborateurs et en impliquant les ressources techniques et technologiques adéquates.