Faille Krack WPA2 : les box des FAI français épargnées

La riposte face à la faille béante dans WPA2 semble coordonnée et puissante. Nous évoquions hier la manière dont Microsoft et les fabricants de routeurs avaient géré le problème, petit focus aujourd’hui sur les FAI français également en première ligne étant donné la forte présence de box Wi-Fi dans les foyers.

 

Les nouvelles sont plutôt rassurantes. Orange indique que ses « équipes étaient pleinement mobilisées pour investiguer sur la potentielle vulnérabilité décrite sous l’appellation « KRACK ». Orange confirme qu’aucune de ses box n’est concernée par cette dernière ». 

Chez Free, on indique : « Je vous confirme que nos APs ne sont pas affectés, la Freebox Crystal et la Freebox Révolution/Mini4k n’activent pas le mode FT (802.11r).Quant à nos clients (Crystal, Mini4k), elles utilisent un VPN par dessus le wifi, donc pas grand chose à décrypter… »

SFR et Bouygues Telecom nous indiquaient lundi être en train d’enquêter sur la question « afin de s’assurer qu’aucune n’est concernée par la vulnérabilité ». A priori, c’est le cas.

>>>A lire : Faille WPA2/Krack : comment les fabricants de matériel Wi-Fi réagissent vraiment <<<

Rappelons que du côté des équipementiers, la situation semble maîtrisée : 

Mikrotik, se félicite de l’étanchéité du système maison RouterOS (v6.39.3, v6.40.4, v6.41rc). Pourquoi ? Parce que les chercheurs qui ont divulgué la faille ont contacté Mikrotik avant de la rendre publique. Conséquence : les développeurs de Mikrotik ont eu eux aussi le temps de pondre un patch et de le livrer la semaine dernière. Une saine démarche, à condition toutefois que les clients et les gestionnaires de réseau prennent la peine de télécharger ces dernières versions et de les installer.

Idem chez Aruba (HPE), de nombreuses versions d’ArubaOS et Aruba Instant sont touchées, tout comme des appareils de la marque (Aruba 501 et Aruba AirMesh MSR). Des patches sont disponibles dès à présent précise le fournisseur. D’autres ont été moins rapides mais sont sur la bonne voie.

Cisco reconnaît par exemple que de nombreux produits sans fil de la marque (en fait une quarantaine) sont touchés par ces vulnérabilité. Des patches sont en cours de distribution et la marque devrait contacter les clients rapidement pour les inciter à les déployer.

Netgear annonce de son côté avoir « déjà publié des correctifs pour
certains équipements et continue à travailler pour mettre à disposition, au plus vite, les mises à jour pour le reste des produits ». La liste
des produits touchés est disponible sur cette page.

Juniper pour sa part concède que les vulnérabilités touchent Junos OS 12.1X46 et ScreenOS 6.3 ainsi que divers produits. Le fournisseur promet une mise à jour (MSS 9.2.1, 9.6.5) et encourage très fortement à physiquement déconnecter le Wi-Fi jusqu’au déploiement du patch.

Chez Intel, moins d’une dizaine de produits sont affectés par la vulnérabilité (famille de produits Intel Dual Band Wireless-AC). L’entreprise prévoit de publier une mise à jour « début novembre 2017 pour prendre en compte les vulnérabilités WPA2 identifiées ». Jusqu’à cette date, l’entreprise recommande de configurer son Active Management Technology en mode TLS. Intel rajoute que les versions 2.x à 7.x de son outil ne recevront pas de mises à jour, car elle ne sont plus supportées.

De même du côté de Aerohive le dossier KRACK est toujours à l’étude et l’avis rendu ce jour sera complété avec « plus de détails » le 31 octobre prochain. Reste que des produits de la gamme sont affectés par les vulnérabilités. Le fournisseur recommande de mettre à jour les versions de HiveOS (8.1r2a, 6.5r9, et 6.7r4) « dès qu’elles seront disponibles », soit pas avant le 20 octobre prochain.

De même, Extreme Networks mentionne que les patches pour ses
produits (ExtremeWireless, ExtremeWireless WiNG, dérie WLAN 9100) seront disponibles à la fin de cette semaine. La société recommande en
attendant de déconnecter le protocole 802.11r.

D-Link n’a semble t-il pas été mis au courant de la découverte des
chercheurs avant sa divulgation publique. L’entreprise assure toutefois
avoir commencé à travailler sur le sujet « aussitôt ». « Cette question de
sécurité est un sujet qui concerne toute l’industrie et va nécessiter
des patches de firmware qui devront être fournis par les fabricants de
chipset » poursuit l’entreprise. « D-Link a demandé leur aide et, dès que
les patches de firmware seront reçus, ils seront disponibles sur nos
sites web ». 


ZDNet vous accompagne

5 applications pour analyser les réseaux Wi-Fi

ZDNet