Faille Krack : Google dégaine ses patchs

Krack est une attaque ayant beaucoup fait parler d’elle et pour cause : cette faille de sécurité touche le chiffrement WPA2, qui protège les connexions WiFi. La faille touche de nombreux constructeurs, notamment les concepteurs de smartphones Android, largement affectés par la faille de sécurité comme le remarquaient les chercheurs à l’origine de la découverte.

Trois semaines après la découverte de la faille, Google publie donc ses premiers patchs à destination d’Android : Google ne considère pas la faille Krack comme une faille critique, mais simplement comme une faille de sécurité de niveau élevé, ce qui pourrait expliquer le retard de déploiement par rapport à des sociétés comme Microsoft qui avaient pu corriger cette faille avant sa révélation au grand public.


Mieux vaut tard que jamais

Google publie donc un patch de sécurité pour Android contenant le correctif pour la fameuse faille, au milieu de plusieurs autres corrections de bugs et de vulnérabilités. Pour Google, la correction de Krack n’est d’ailleurs pas la faille de sécurité la plus inquiétante corrigée par ce patch : Google préfère alerter sur une faille critique touchant le framework media d’Android et qui permettrait d’exécuter du code malveillant. Krack, de son côté, permet surtout le vol d’information et demande plusieurs conditions pour pouvoir être exploitée convenablement par des attaquants : se trouver dans la portée de l’appareil et être en mesure de réaliser un exploit capable de tirer parti de la faille, ce qui n’est pas forcement à la portée de tous.

 


Le problème reste le même pour l’écosystème Android : Google a publié son correctif et promet de proposer le code source de ses ajouts aux partenaires de l’écosystème Android dans les deux jours, mais rien ne viendra forcer ceux-ci à diffuser les mises à jour. Il faudra donc encore un moment avant que tous les appareils Android puissent bénéficier de cette mise à jour, selon le calendrier prévu par les opérateurs et constructeurs pour diffuser leurs mises à jour de sécurité.

Il est également possible que certaines versions anciennes de l’OS, encore présentes notamment dans l’informatique embarquée et certains vieux modèles de téléphones, ne puissent tout simplement pas bénéficier de la mise à jour du fait de leur retard.

Pour vérifier si votre téléphone dispose de la mise à jour correspondante, Google indique que les correctifs de Krack sont installés sur les téléphones disposant d’un niveau de patch supérieur au 6 novembre 2017. L’information est disponible dans l’onglet « À propos du téléphone » dans les paramètres d’Android.

ZDNet