Les Freebox ne sont pas touchées par la vulnérabilité Wi-Fi « KRACK Attacks », et n’auront donc pas besoin de patch correctif.
En ce début de semaine, tout le monde ne parle que de la faille « KRACK Attacks » touchant le Wi-Fi, proprement dévastatrice — à en croire les titres alarmistes de la presse. Le protocole de chiffrement WPA2, très largement utilisé à travers le monde pour sécuriser le Wi-Fi, serait cassé, laissant vulnérables la plupart des réseaux mondiaux. Or, WPA2 est utilisé en standard sur la plupart des box actuelles, y compris la Freebox.
Alors, la sécurité des utilisateurs de Freebox est-elle compromise ? La réponse est non, du moins du côté de la box. Maxime Bizon, développeur Freebox, confirme qu’aucun modèle de Freebox n’est affecté par la faille de sécurité, et qu’en conséquence, Free n’a même pas besoin de déployer de patch correctif.
Sur le bugtracker officiel Freebox, il explique que les points d’accès ne sont pour la plupart pas touchés, puisque la vulnérabilité se concentre en réalité sur les périphériques clients :
Après lecture du papier, et confirmation par la FAQ du site Krack Attacks:
« Our main attack is against the 4-way handshake, and does not exploit access points, but instead targets clients. »
Je vous confirme que nos APs ne sont pas affectés, la Freebox Crystal et la Freebox Révolution/Mini4k n’activent pas le mode FT (802.11r).
Une vulnérabilité côté client reste possible
Si les utilisateurs de Freebox n’ont pas à craindre une faille de la box, une vulnérabilité reste possible sur l’appareil client. Mais il convient de ne pas céder à la panique. À l’heure actuelle, Windows est à l’abri, tandis qu’un patch pour les systèmes Apple (iOS, macOS, tvOS…) est déjà disponible en beta et devrait être déployé très rapidement pour tous. De la même façon, les utilisateurs de Linux sont invités à mettre leurs paquets à jour afin de bénéficier d’un patch au plus tôt.
Ce sont surtout les utilisateurs d’Android qui sont touchés. En effet, la faille concerne toutes les versions d’Android à partir d’Android 6.0 (Marshmallow). Un patch correctif devrait rapidement être publié par Google, mais il faudra ensuite que chaque constructeur prenne le temps de le diffuser sur ses propres téléphones, ce qui risque de prendre du temps — et de laisser un certain nombre de smartphones plus anciens vulnérables, en l’absence de mise à jour.
Gardons la tête sur les épaules, donc : cette faille, facile à corriger, gardera un impact très limité. Et si vous craignez vraiment pour votre sécurité, sur un smartphone Android un peu ancien par exemple, privilégiez les sites disposant d’une connexion sécurisée (HTTPS) ou faites carrément passer toutes vos connexions par un VPN sécurisé. Vos communications resteront ainsi indéchiffrables, même pour un éventuel intrus. Il s’agit de bons réflexes que vous pouvez également appliquer lors de l’utilisation de Wi-Fi sur des réseaux publics (hotspots).