Une faille baptisée Kr00k liée à des puces WiFi Broadcom et Cypress Semiconductor touche plus d’un milliard d’appareils des iPhones pour l’essentiel, mais aussi des, iPad, Macs, smartphones Android, Raspberry Pi, ou encore des Kindle et enceintes connectées Amazon Echo. Eset explique que des patchs sont déjà disponibles chez la plupart des fabricants.
Les chercheurs de Eset rapportent qu’une faille liée à des puces WiFi Broadcom et Cypress Semiconductor touche plus d’un milliard d’appareils, surtout des iPhone, mais aussi un certain nombre de smartphones Android, tablettes, macs, enceintes connectées et Raspberry Pi. Voici la liste des appareils testés par Eset concernés par la faille :
- Amazon Echo 2e gen
- Amazon Kindle 8e gen
- Apple iPad mini 2
- Apple iPhone 6
- Apple iPhone 6S
- Apple iPhone 8
- Apple iPhone XR
- Apple MacBook
- Apple iPad Air
- Google Nexus 5
- Google Nexus 6
- Google Nexus 6P
- Raspberry Pi 3
- Samsung Galaxy S4
- Samsung Galaxy S8
- Xiaomi Redmi 3S
Le problème semble également toucher des routeurs Asus et Huawei. Eset précise néanmoins que « beaucoup d’autres vendeurs dont nous n’avons pas testé les produits utilisent les chipsets touchés dans leurs appareils ». La vulnérabilité ne serait néanmoins pas présente dans les puces Qualcomm, Realtek, Ralink, et Mediate. La faille de sécurité, baptisée Kr00k, permet de détourner la sécurité déjà chancelante des protocoles WPA2 Personal et Enterprise.
La faille Kr00k se manifeste lorsqu’un appareil mobile doté d’un chipset concerné, désassortie sa connexion WiFi. Ce qui arrive plusieurs fois par jour, en cas de perte du signal. Le chipset tente alors de rétablir la connexion automatiquement. Or, grâce aux vulnérabilités de ces chipsets, les hackers peuvent forcer un client à se désassocier puis à transmettre des données peu chiffrées dans un mode plus compatible. Et quand on vous dit peu chiffrées, le code est une suite de zéros.
Ce qui rend le déchiffrement particulièrement simple. Eset a transmis ses découvertes plusieurs mois en amont aux constructeurs touchés, et un patch est disponible pour la plupart des appareils sous la forme d’une mise à jour système. Que vous soyez sur iPhone, Galaxy S8, ou possédiez un Amazon Echo, la meilleure chose à faire pour vous protéger est donc de vous assurer de tourner sous la dernière version de votre système d’exploitation et le cas échéant de mettre à jour votre appareil.
Source : PhoneArena
