Une récente faille de sécurité a été découverte par la société de cybersécurité Eset. Vraisemblablement, celle-ci désactiverait le chiffrement utilisé par un réseau Wi-Fi, logiquement protégé par un mot de passe. Cela signifie que des hackers pourraient surfer sur le réseau comme s’il était totalement ouvert. Un milliard d’appareils sont concernés.

Un milliard d’appareils connectés au Wi-Fi sont concernés

D’après les chercheurs à l’origine de cette découverte, la vulnérabilité se trouverait dans les puces Wi-Fi fabriquées par Cypress Semiconductor et Broadcom. Parmi les appareils touchés, nous retrouvons les iPhone, iPad, Mac, ou les enceintes Echo d’Amazon, la Kindle, les appareils Android, ou encore le Raspberry Pi 3. D’après la société Eset, la faille affecterait principalement les puces WLAN FullMAC de Cyperess et Broadcom. Pour information, les chercheurs ont nommé cette faille Kr00k.

Les chercheurs de l’Eset précisent que : « cette faille de sécurité est gigantesque puisqu’un hacker peut déchiffrer des données qui ont été transmises par un point d’accès Wi-Fi vulnérable, sur près d’un milliard d’appareils ». En réalité, Kr00k exploite une faiblesse qui se produit lorsque les appareils sans fil se dissocient d’un point d’accès sans fil. Plutôt que de chiffrer les données avec une clé pré-définie et utilisée lors de la connexion, les appareils vulnérables utilisent une clé composée de zéros, ce qui rend le déchiffrement très facile.

Dans le pire des cas, une quantité astronomique de données serait exposée. Les chercheurs pensent notamment aux sites web que vous visitez ou aux messages que vous envoyez à vos amis. Néanmoins, une grande partie de vos communications privées sont déjà sécurisées grâce au chiffrement utilisé par les sites web eux-mêmes, même en Wi-Fi. De quoi apaiser vos craintes ? Pas sûr…

Les failles de sécurité de plus en plus fréquentes

Avec l’avènement des nouvelles technologies, les vulnérabilités sont très fréquentes. On se souvient que l’année dernière, les systèmes de surveillance des villes chinoises avaient aussi été exposés. John Wethington, chercheur en cybersécurité, a mis la main sur la base de données d’une ville intelligente accessible à partir d’un navigateur, sans mot de passe. Ces données avaient été hébergées sur le cloud du géant chinois, Alibaba.

En février 2019 cette fois, une autre faille de sécurité pouvait permettre à des hackers de prendre le contrôle des trottinettes M365 de Xiaomi. Ce piratage a été rendu possible à cause de l’utilisation de Bluetooth pour une grande partie des fonctions des trottinettes. Concrètement, en accédant au contrôle Bluetooth des engins, un hacker pouvait en faire ce qu’il voulait.