Ce n’est que depuis hier que le catalogue en ligne Security Update Guide, qui remplace depuis cette année les fameux bulletins de sécurité de Microsoft, comporte des détails sur la mise à jour de sécurité WiFi Protected Access II (WPA2). Ainsi, selon cette liste, toutes les versions actuellement supportées de Windows ont été corrigées, notamment Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012 et Windows Server 2016.
Ces vulnérabilités ont été révélées hier par Mathy Vanhoef, chercheur à l’Université Catholique de Louvain en Belgique. Sur un site web, le chercheur a déclaré que des failles dans le protocole WPA2 pourraient permettre à des criminels de lire des informations normalement cryptées quand celles-ci transitaient par un réseau WiFi. « Des attaquants peuvent utiliser cette technique d'attaque pour lire des informations normalement protégées par cryptage », a écrit Mathy Vanhoef sur le site. L’attaque, baptisée Krack pour « Key Reinstallation Attacks » par le chercheur, « peut permettre de voler des informations sensibles comme des numéros de carte de crédit, des mots de passe, des messages de chat, des e-mails, des photos, etc. ».
Mise à jour le 10 octobre
Microsoft avait intégré, sans le dire, un patch anti-Krack dans la mise à jour de sécurité d'octobre livrée le 10 octobre. Mais la firme de Redmond avait gardé l’information secrète jusqu’à hier, date à laquelle le chercheur, des entreprises de sécurité et plusieurs éditeurs ont dévoilé l’existence de ces vulnérabilités. « Nous nous sommes concertés avec l’ICASI (International Consortium for Advancement of Cybersecurity on the Internet) et plusieurs éditeurs afin de révéler au même moment les vulnérabilités WPA affectant le WiFi », a expliqué Microsoft dans un texte accompagnant la mise à jour.
Les mises à jour de sécurité de Windows ont corrigé les versions client et serveur du système d'exploitation de Microsoft, mais le risque pour les utilisateurs n’est pas complètement éliminé, a prévenu l’entreprise. « Quand les systèmes Windows concernés basculent en mode de veille connectée pour économiser de l’énergie, les fonctions vulnérables peuvent être déchargées vers le hardware WiFi installé », a déclaré Microsoft. « Pour résoudre totalement ce problème de vulnérabilités potentielles, nous vous encourageons à contacter votre fournisseur de matériel WiFi pour obtenir des mises à jour des pilotes de périphériques. »
Appel a mise à jour les bêtas de ses OS
Les PC sous Windows qui reçoivent des mises à jour automatiques ont probablement été déjà corrigés. Comme d'habitude, le personnel informatique doit valider les mises à jour pour les appareils gérés. De son coté, Apple a annoncé avoir déjà patché le protocole WPA2 dans les versions bêtas de ses derniers OS (MacOS 10.13, tvOS 11.1, watchOS 4.1 et iOS 11.1).
Mathy Vanhoef et Frank Piessens, un autre chercheur en sécurité de l’Université Catholique de Louvain, présenteront un article sur Krack le 1er novembre lors d'une conférence à Dallas, au Texas. Ce document est déjà disponible en ligne (en anglais).