Le monde du high-tech est souvent perturbé par des défauts de sécurité qui surviennent de façon quasi quotidienne, aussi bien sur les systèmes d’exploitation que sur les appareils et les différentes applications.
Seules leur sévérité ainsi que leur étendue varient en fonction de leur degré de gravité.
Une faille de grande ampleur vient d’être décelée par des spécialistes en sécurité informatique et présentée lors de la conférence RSA de San Francisco.
Baptisée Kr00k, cette vulnérabilité qui touche les puces Wifi permet de déchiffrer l’ensemble des informations échangées.
Les ingénieurs de l’éditeur d’antivirus ESET derrière cette découverte précisent que c’est le protocole WPA2, censé protéger les communications, qui autorise à ce bug d’accéder aux données chiffrées.
Ils expliquent également l’origine de la faille qui n’est pas tout à fait en rapport avec ce protocole, mais avec les puces réseau utilisées dans la majeure partie de nos appareils, notamment celles de Cypress et de Braodcom qui figurent parmi celles les plus répandues au monde.
Non seulement l’attaquant aura la possibilité d’espionner l’ensemble du trafic d’une box ou d’un routeur, mais il pourra aussi se connecter à un point d’accès dès que l’utilisateur se déconnecte, sans même avoir besoin du mot de passe.
Un nombre important d’appareils, tous types confondus, sont concernés par cette écoute. Nous citerons par exemple les iPhone, les Galaxy d’Apple et de Samsung, les routeurs Wifi d’Asus, de Huwaei, les Pixel de Google ainsi que les liseuses et les Kindle d’Amazon.
D’après les chercheurs d’ESET, Kr00k fonctionne en se manifestant juste après une dissociation et en supprimant la clé de session stockée dans la puce Wifi du réseau sans fil pour le définir sur 0, d’où les deux zéros de « Kr00k ».
Steve Vorencik, expert en sécurité informatique, assure que cette faille est susceptible de collecter 32 ko de données en une fois, ce qui revient à accéder à plus de 20 000 mots.
Notons que le document de l’ESET parle d’un milliard d’appareils sur écoute, mais il est clairement mentionné que ce chiffre est une estimation très prudente et qu’il ne s’agit en aucun cas de conclusions exhaustives, car ces résultats se limitent uniquement à ceux testés par l’entreprise.
