Suite à la révélation de l’existence d’une importante faille de sécurité sur les réseaux Wi-Fi WPA2, les opérateurs se veulent rassurants : les box françaises ne sont, globalement, pas concernées.
On l’a appris hier, la Freebox est épargnée par la faille « KRACK Attacks », qui permet à un attaquant d’espionner les données sur un réseau Wi-Fi sécurisé avec WPA2 (soit l’immense majorité des réseaux utilisés à l’heure actuelle). Maxime Bizon, développeur Freebox, confirmait que les Freebox Révolution, Mini 4K et Crystal ne sont tout simplement pas concernées, et ne nécessitent donc pas de patch correctif.
Orange confirme également à l’AFP qu’aucune de ses Livebox n’est concernée. SFR et Bouygues Telecom se veulent plus prudents, et indiquent travailler avec leurs prestataires constructeurs de box avant de se prononcer sur une éventuelle vulnérabilité. Mais, en raison de la nature même de la faille, qui cible spécifiquement les clients (et non les points d’accès), il n’y a pas lieu de s’inquiéter outre mesure.
Une vulnérabilité côté client reste possible
Bouygues Telecom rappelle toutefois ses utilisateurs à quelques notions de sécurité élémentaires. « Nous encourageons nos clients à faire les mises à jour nécessaires sur la totalité de leurs appareils (ordinateurs, smartphones, tablettes, ndlr) afin de s’assurer qu’ils ne courent pas de risque », précise l’opérateur.
En effet, si les box sont globalement écartées du problème, une vulnérabilité reste possible sur l’appareil client. À l’heure actuelle, Windows est à l’abri, tandis qu’un patch pour les systèmes Apple (iOS, macOS, tvOS…) est déjà disponible en beta et devrait être déployé très rapidement pour tous. De la même façon, les utilisateurs de Linux sont invités à mettre leurs paquets à jour afin de bénéficier d’un patch au plus tôt.
Ce sont surtout les utilisateurs d’Android qui sont touchés. En effet, la faille concerne toutes les versions d’Android à partir d’Android 6.0 (Marshmallow). Un patch correctif devrait rapidement être publié par Google, mais il faudra ensuite que chaque constructeur prenne le temps de le diffuser sur ses propres téléphones, ce qui risque de prendre du temps — et de laisser un certain nombre de smartphones plus anciens vulnérables, en l’absence de mise à jour.
Gardons la tête sur les épaules, donc : cette faille, facile à corriger, gardera un impact très limité. Et si vous craignez vraiment pour votre sécurité, sur un smartphone Android un peu ancien par exemple, privilégiez les sites disposant d’une connexion sécurisée (HTTPS) ou faites carrément passer toutes vos connexions par un VPN sécurisé. Vos communications resteront ainsi indéchiffrables, même pour un éventuel intrus. Il s’agit de bons réflexes que vous pouvez également appliquer lors de l’utilisation de Wi-Fi sur des réseaux publics (hotspots).
via AFP